J'utilise Bind depuis un moment dans mon entreprise et je viens de
m'apercevoir que je ne peux pas résoudre l'adresse www.anpe.fr. A priori
je peux résoudre tous les autres noms sur Internet.
Un
# nslookup -sil www.anpe.fr donne le résultat suivant :
;; connection timed out; no servers could be reached
C'est étonnant car ça fonctionne pour tous les autres noms.
Auriez vous des suggestions ?
Merci.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Avec les types NS ou SOA, oui, ça n'a de sens que pour une zone (j'ai bien dit zone et pas domaine, tous les domaines ne sont pas des zones, par exemple asso.re n'est pas une zone alors que asso.fr l'est).
Beaucoup d'administrateurs DNS ne maintiennent pas cette information, puisqu'elle ne sert qu'à la documentation, contrairement aux NS qui ont un rôle concret.
Avec les types NS ou SOA, oui, ça n'a de sens que pour une zone (j'ai
bien dit zone et pas domaine, tous les domaines ne sont pas des zones,
par exemple asso.re n'est pas une zone alors que asso.fr l'est).
Beaucoup d'administrateurs DNS ne maintiennent pas cette information,
puisqu'elle ne sert qu'Ã la documentation, contrairement aux NS qui
ont un rôle concret.
Avec les types NS ou SOA, oui, ça n'a de sens que pour une zone (j'ai bien dit zone et pas domaine, tous les domaines ne sont pas des zones, par exemple asso.re n'est pas une zone alors que asso.fr l'est).
Beaucoup d'administrateurs DNS ne maintiennent pas cette information, puisqu'elle ne sert qu'à la documentation, contrairement aux NS qui ont un rôle concret.
/F - Qui a trop tendance à penser que les admins sont 'propres' dans ce qu'ils font ;)
rom1
François TOURDE a écrit :
Dis moi si je me trompe (notion pas forcément claire dans mon cas), mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans un DNS, c'est bien ça?
une zone peut être aussi "un domaine + ses (ou une partie de ses) sous-domaines)"
-- Romain
François TOURDE a écrit :
Dis moi si je me trompe (notion pas forcément claire dans mon cas),
mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans
un DNS, c'est bien ça?
une zone peut être aussi "un domaine + ses (ou une partie de ses)
sous-domaines)"
Dis moi si je me trompe (notion pas forcément claire dans mon cas), mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans un DNS, c'est bien ça?
une zone peut être aussi "un domaine + ses (ou une partie de ses) sous-domaines)"
-- Romain
Stephane Bortzmeyer
On Thu, Sep 01, 2005 at 02:41:19PM +0200, François TOURDE wrote a message of 25 lines which said:
Dis moi si je me trompe (notion pas forcément claire dans mon cas), mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans un DNS, c'est bien ça?
Une zone est un domaine qui est déléguée techniquement, qui a ses propres serveurs de noms (c'est pour cela qu'elle a des enregistrements NS et SOA).
Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une zone?
C'est une notion qui n'a plus guère de sens, de toute façon (BIND n'utilise plus ce vocabulaire) : dans beaucoup de domaines, le générateur de zones tourne sur tout ou partie des serveurs et, d'une certaine façon, ils sont tous primaires.
C'est ainsi que fonctionne ".com", ".de" ou ".org". ".at" n'a pas de générateur sur chaque serveur mais le SOA reflète la machine où a tourné le générateur, il y a donc des SOA différents selon le serveur qu'on interroge.
On les interroge tous jusqu'à ce que l'un d'eux réponde qu'il est autoritaire sur la zone?
Tous les serveurs d'une zone, primaires et secondaires, font autorité (un adjudant est autoritaire, un serveur DNS fait autorité).
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Thu, Sep 01, 2005 at 02:41:19PM +0200,
François TOURDE <fra-duf-no-spam@tourde.org> wrote
a message of 25 lines which said:
Dis moi si je me trompe (notion pas forcément claire dans mon cas),
mais une *zone* c'est un (sous-)domaine pris en charge et déclaré
dans un DNS, c'est bien ça?
Une zone est un domaine qui est déléguée techniquement, qui a ses
propres serveurs de noms (c'est pour cela qu'elle a des
enregistrements NS et SOA).
Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une
zone?
C'est une notion qui n'a plus guère de sens, de toute façon (BIND
n'utilise plus ce vocabulaire) : dans beaucoup de domaines, le
générateur de zones tourne sur tout ou partie des serveurs et, d'une
certaine façon, ils sont tous primaires.
C'est ainsi que fonctionne ".com", ".de" ou ".org". ".at" n'a pas de
générateur sur chaque serveur mais le SOA reflète la machine où a
tourné le générateur, il y a donc des SOA différents selon le serveur
qu'on interroge.
On les interroge tous jusqu'à ce que l'un d'eux réponde qu'il
est autoritaire sur la zone?
Tous les serveurs d'une zone, primaires et secondaires, font autorité
(un adjudant est autoritaire, un serveur DNS fait autorité).
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
On Thu, Sep 01, 2005 at 02:41:19PM +0200, François TOURDE wrote a message of 25 lines which said:
Dis moi si je me trompe (notion pas forcément claire dans mon cas), mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans un DNS, c'est bien ça?
Une zone est un domaine qui est déléguée techniquement, qui a ses propres serveurs de noms (c'est pour cela qu'elle a des enregistrements NS et SOA).
Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une zone?
C'est une notion qui n'a plus guère de sens, de toute façon (BIND n'utilise plus ce vocabulaire) : dans beaucoup de domaines, le générateur de zones tourne sur tout ou partie des serveurs et, d'une certaine façon, ils sont tous primaires.
C'est ainsi que fonctionne ".com", ".de" ou ".org". ".at" n'a pas de générateur sur chaque serveur mais le SOA reflète la machine où a tourné le générateur, il y a donc des SOA différents selon le serveur qu'on interroge.
On les interroge tous jusqu'à ce que l'un d'eux réponde qu'il est autoritaire sur la zone?
Tous les serveurs d'une zone, primaires et secondaires, font autorité (un adjudant est autoritaire, un serveur DNS fait autorité).
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Marc PERRUDIN
François TOURDE a écrit :
Le 13027ième jour après Epoch, Stephane Bortzmeyer écrivait:
Avec les types NS ou SOA, oui, ça n'a de sens que pour une zone (j'ai bien dit zone et pas domaine, tous les domaines ne sont pas des zones, par exemple asso.re n'est pas une zone alors que asso.fr l'est).
Dis moi si je me trompe (notion pas forcément claire dans mon cas), mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans un DNS, c'est bien ça?
C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un domaine domaine.fr et que tu veux créer un sous domaine sous.domaine.fr, tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des entrées comme :
... www.sous IN A 1.2.3.4 ...
dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.
Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec une conf du genre :
zone "sous.domaine.fr" { ... options ... }
puis dans la zone, tu declare tes entrées:
... www IN A 1.2.3.4 ...
dans ce cas, sous.domaine.fr est une zone.
C'est pour cette raison que seul les zones peuvent avoir un SOA et des NS, les sous-domaines qui ne sont pas des zones ont les SOA et NS de la zone a laquelle ils appartiennent.
Beaucoup d'administrateurs DNS ne maintiennent pas cette information, puisqu'elle ne sert qu'à la documentation, contrairement aux NS qui ont un rôle concret.
Exemple ? Le domaine "sn", par exemple.
Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une zone? On les interroge tous jusqu'à ce que l'un d'eux réponde qu'il est autoritaire sur la zone?
Il ne faut pas confondre primaire et autoritaire. Un serveur dns declaré avec une entrée NS pour une zone est autoritaire pour cette zone. Le serveur primaire est normalement celui qui possede la map qui est repliquée sur l'ensemble des autres dns. Un serveur dns peut avoir la map d'une zone sans etre autoritaire, il suffit pour cela qu'il soit dans les allow-transfert d'un serveur qui possede deja la map. Les SOA mal configurés le sont parfois volontairement, certains experts securités le conseillent pour rendre les attaques plus difficiles (le pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est pas accessible depuis Internet). Autre detail, certain systeme dns peuvent avoir plusieurs SOA, c'est le cas des DNS windows qui utilise l'annuaire AD en multi-maitre.
/F - Qui a trop tendance à penser que les admins sont 'propres' dans ce qu'ils font ;)
-- Pensez
François TOURDE a écrit :
Le 13027ième jour après Epoch,
Stephane Bortzmeyer écrivait:
Avec les types NS ou SOA, oui, ça n'a de sens que pour une zone (j'ai
bien dit zone et pas domaine, tous les domaines ne sont pas des zones,
par exemple asso.re n'est pas une zone alors que asso.fr l'est).
Dis moi si je me trompe (notion pas forcément claire dans mon cas),
mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans
un DNS, c'est bien ça?
C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un
domaine domaine.fr et que tu veux créer un sous domaine sous.domaine.fr,
tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des
entrées comme :
...
www.sous IN A 1.2.3.4
...
dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.
Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec
une conf du genre :
zone "sous.domaine.fr" {
...
options
...
}
puis dans la zone, tu declare tes entrées:
...
www IN A 1.2.3.4
...
dans ce cas, sous.domaine.fr est une zone.
C'est pour cette raison que seul les zones peuvent avoir un SOA et des
NS, les sous-domaines qui ne sont pas des zones ont les SOA et NS de la
zone a laquelle ils appartiennent.
Beaucoup d'administrateurs DNS ne maintiennent pas cette information,
puisqu'elle ne sert qu'à la documentation, contrairement aux NS qui
ont un rôle concret.
Exemple ? Le domaine "sn", par exemple.
Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une
zone? On les interroge tous jusqu'à ce que l'un d'eux réponde qu'il
est autoritaire sur la zone?
Il ne faut pas confondre primaire et autoritaire. Un serveur dns declaré
avec une entrée NS pour une zone est autoritaire pour cette zone. Le
serveur primaire est normalement celui qui possede la map qui est
repliquée sur l'ensemble des autres dns. Un serveur dns peut avoir la
map d'une zone sans etre autoritaire, il suffit pour cela qu'il soit
dans les allow-transfert d'un serveur qui possede deja la map.
Les SOA mal configurés le sont parfois volontairement, certains experts
securités le conseillent pour rendre les attaques plus difficiles (le
pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est
pas accessible depuis Internet).
Autre detail, certain systeme dns peuvent avoir plusieurs SOA, c'est le
cas des DNS windows qui utilise l'annuaire AD en multi-maitre.
/F - Qui a trop tendance à penser que les admins sont 'propres' dans
ce qu'ils font ;)
Le 13027ième jour après Epoch, Stephane Bortzmeyer écrivait:
Avec les types NS ou SOA, oui, ça n'a de sens que pour une zone (j'ai bien dit zone et pas domaine, tous les domaines ne sont pas des zones, par exemple asso.re n'est pas une zone alors que asso.fr l'est).
Dis moi si je me trompe (notion pas forcément claire dans mon cas), mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans un DNS, c'est bien ça?
C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un domaine domaine.fr et que tu veux créer un sous domaine sous.domaine.fr, tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des entrées comme :
... www.sous IN A 1.2.3.4 ...
dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.
Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec une conf du genre :
zone "sous.domaine.fr" { ... options ... }
puis dans la zone, tu declare tes entrées:
... www IN A 1.2.3.4 ...
dans ce cas, sous.domaine.fr est une zone.
C'est pour cette raison que seul les zones peuvent avoir un SOA et des NS, les sous-domaines qui ne sont pas des zones ont les SOA et NS de la zone a laquelle ils appartiennent.
Beaucoup d'administrateurs DNS ne maintiennent pas cette information, puisqu'elle ne sert qu'à la documentation, contrairement aux NS qui ont un rôle concret.
Exemple ? Le domaine "sn", par exemple.
Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une zone? On les interroge tous jusqu'à ce que l'un d'eux réponde qu'il est autoritaire sur la zone?
Il ne faut pas confondre primaire et autoritaire. Un serveur dns declaré avec une entrée NS pour une zone est autoritaire pour cette zone. Le serveur primaire est normalement celui qui possede la map qui est repliquée sur l'ensemble des autres dns. Un serveur dns peut avoir la map d'une zone sans etre autoritaire, il suffit pour cela qu'il soit dans les allow-transfert d'un serveur qui possede deja la map. Les SOA mal configurés le sont parfois volontairement, certains experts securités le conseillent pour rendre les attaques plus difficiles (le pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est pas accessible depuis Internet). Autre detail, certain systeme dns peuvent avoir plusieurs SOA, c'est le cas des DNS windows qui utilise l'annuaire AD en multi-maitre.
/F - Qui a trop tendance à penser que les admins sont 'propres' dans ce qu'ils font ;)
Le 13027ième jour après Epoch, Marc PERRUDIN écrivait:
C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un domaine domaine.fr et que tu veux créer un sous domaine sous.domaine.fr, tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des entrées comme :
... www.sous IN A 1.2.3.4 ...
dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.
Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec une conf du genre :
zone "sous.domaine.fr" { ... options ... }
puis dans la zone, tu declare tes entrées:
... www IN A 1.2.3.4 ...
dans ce cas, sous.domaine.fr est une zone.
Tout à fait d'accord. C'est d'ailleurs ce que je fais (les 2 cas me servent) chez moi.
Il me semble quand même que dans le second cas, (avec une zone pour "sous.domaine.fr") il faut préciser dans la zone "domaine.fr" que "sous" a pour NS x.y.z.t non?
Non, pas a ma connaissance. Les zones sont independantes les unes des autres. Par contre, les DNS qui servent la zone domaine.fr doivent avoir les sous-zones ou savoir ou forwarder les requetes pour ces sous-zones. Tout ca ce retrouve dans le named.conf et non dans la zone.
Bon, j'ai regardé ma config, et je le fais pas, mais il me reste un souvenir de ce genre.
Les SOA mal configurés le sont parfois volontairement, certains experts securités le conseillent pour rendre les attaques plus difficiles (le pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est pas accessible depuis Internet).
Pas mal comme idée. Du coup le SOA n'est jamais accessible, sauf depuis les DNS esclaves.
C'est vrai que c'est interessant mais, la ou je travaille, je n'avait pas pu l'essayer car lorsque tu fais ca, les outils comme zonecheck renvoient une erreur fatale concernant le domaine et notre fournisseur exige un zonecheck valide pour les domaines appartenant a son reseau. Il vaut mieux se renseigner avant de tester ca.
A+
-- Pensez
François TOURDE a écrit :
Le 13027ième jour après Epoch,
Marc PERRUDIN écrivait:
C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un
domaine domaine.fr et que tu veux créer un sous domaine sous.domaine.fr,
tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des
entrées comme :
...
www.sous IN A 1.2.3.4
...
dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.
Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec
une conf du genre :
zone "sous.domaine.fr" {
...
options
...
}
puis dans la zone, tu declare tes entrées:
...
www IN A 1.2.3.4
...
dans ce cas, sous.domaine.fr est une zone.
Tout à fait d'accord. C'est d'ailleurs ce que je fais (les 2 cas me
servent) chez moi.
Il me semble quand même que dans le second cas, (avec une zone pour
"sous.domaine.fr") il faut préciser dans la zone "domaine.fr" que
"sous" a pour NS x.y.z.t non?
Non, pas a ma connaissance. Les zones sont independantes les unes des
autres. Par contre, les DNS qui servent la zone domaine.fr doivent avoir
les sous-zones ou savoir ou forwarder les requetes pour ces sous-zones.
Tout ca ce retrouve dans le named.conf et non dans la zone.
Bon, j'ai regardé ma config, et je le fais pas, mais il me reste un
souvenir de ce genre.
Les SOA mal configurés le sont parfois volontairement, certains experts
securités le conseillent pour rendre les attaques plus difficiles (le
pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est
pas accessible depuis Internet).
Pas mal comme idée. Du coup le SOA n'est jamais accessible, sauf
depuis les DNS esclaves.
C'est vrai que c'est interessant mais, la ou je travaille, je n'avait
pas pu l'essayer car lorsque tu fais ca, les outils comme zonecheck
renvoient une erreur fatale concernant le domaine et notre fournisseur
exige un zonecheck valide pour les domaines appartenant a son reseau. Il
vaut mieux se renseigner avant de tester ca.
Le 13027ième jour après Epoch, Marc PERRUDIN écrivait:
C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un domaine domaine.fr et que tu veux créer un sous domaine sous.domaine.fr, tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des entrées comme :
... www.sous IN A 1.2.3.4 ...
dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.
Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec une conf du genre :
zone "sous.domaine.fr" { ... options ... }
puis dans la zone, tu declare tes entrées:
... www IN A 1.2.3.4 ...
dans ce cas, sous.domaine.fr est une zone.
Tout à fait d'accord. C'est d'ailleurs ce que je fais (les 2 cas me servent) chez moi.
Il me semble quand même que dans le second cas, (avec une zone pour "sous.domaine.fr") il faut préciser dans la zone "domaine.fr" que "sous" a pour NS x.y.z.t non?
Non, pas a ma connaissance. Les zones sont independantes les unes des autres. Par contre, les DNS qui servent la zone domaine.fr doivent avoir les sous-zones ou savoir ou forwarder les requetes pour ces sous-zones. Tout ca ce retrouve dans le named.conf et non dans la zone.
Bon, j'ai regardé ma config, et je le fais pas, mais il me reste un souvenir de ce genre.
Les SOA mal configurés le sont parfois volontairement, certains experts securités le conseillent pour rendre les attaques plus difficiles (le pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est pas accessible depuis Internet).
Pas mal comme idée. Du coup le SOA n'est jamais accessible, sauf depuis les DNS esclaves.
C'est vrai que c'est interessant mais, la ou je travaille, je n'avait pas pu l'essayer car lorsque tu fais ca, les outils comme zonecheck renvoient une erreur fatale concernant le domaine et notre fournisseur exige un zonecheck valide pour les domaines appartenant a son reseau. Il vaut mieux se renseigner avant de tester ca.
Non, pas a ma connaissance. Les zones sont independantes les unes des autres. Par contre, les DNS qui servent la zone domaine.fr doivent avoir les sous-zones ou savoir ou forwarder les requetes pour ces sous-zones. Tout ca ce retrouve dans le named.conf et non dans la zone.
Non, pas a ma connaissance. Les zones sont independantes les unes des
autres. Par contre, les DNS qui servent la zone domaine.fr doivent avoir
les sous-zones ou savoir ou forwarder les requetes pour ces sous-zones.
Tout ca ce retrouve dans le named.conf et non dans la zone.
Non, pas a ma connaissance. Les zones sont independantes les unes des autres. Par contre, les DNS qui servent la zone domaine.fr doivent avoir les sous-zones ou savoir ou forwarder les requetes pour ces sous-zones. Tout ca ce retrouve dans le named.conf et non dans la zone.
