Pages : 1
#1 Le 21/10/2016, à 11:15
- GhostSpirit
question théorique et pratique serveur DNS Bind9
Bonjour,
Il me faudrait, l'aide charitable d'un technicien ayant l'âme d'un professeur que je pourrait remercié de tout mon coeur..
j'ai mis deux mois pour arrivé à faire fonctionné deux serveurs DNS et deux serveurs de messagerie
Je tiens à précisé que j'ai essayé RTFM.
et que je pense mettre pas trop mal démerdé au vu d'un certains résultats.
Mais je n'arrive pas à tout comprendre, malgré que j'ai tout bon sur zonemaster en mode normal (pas en mode expert) et sur dnsinspect.
Il me reste quand même deux trois petits bugs et une grande incompréhension pour le 3e domaine
(J'ai mis en gras les question, nom des serveurs et les nom des fichier de configuration)
j'ai deux serveur dédié :
une IP suplementaire sur le deuxième serveur
trois domaines quej'ai appelé:
* premier.fr (ip 111.0.10.1 sur sur Kimsufi)
* domaine.com ( 222.0.20.2 sur Ikoula]
* web.com 333.0.30.3 sur Ikoula)
Service installer : Apache/2.4.10
fail2ban v0.8.13
logwatch 7.4.0
iptables 1.4.21 (version donnée dans man iptables)
bind9 BIND 9.9.5-9
postfix (mail_version = 2.11.3)
SASL (saslauthd 2.1.26)
Dovecot 2 (2.2.13)php5
PHP 5.6.24
poser les questions en premier est assez difficile pour moi, j'ai besoin de cas concret pour expliquer mes difficultés
Donc j'ai juste une général en premier, puis après la description de ma configuration les question plus précise et pratique
Question 1. rndc qu'est-ce c'est à quoi cela sert-il ?
pour le serveur 1 : KimSufi (tous les non de domaine chez OVH)
* hostname :
ns1* hosts :
127.0.0.1 localhost.localdomain localhost
111.0.10.1 premier.fr. ns1* resolv.conf
domain ns1.monpremier.fr
nameserver 127.0.0.1
nameserver 111.0.10.1
nameserver 222.222.2.2
Search mon premier.fr
Serveur : Kimsufi * IP : 111.0.10.1 ; domaine premier.fr ; dns serveur Maître serveur mail premier.fr
named.conf.local
1 //
2 // Do any local configuration here
3 //
4
5 // Consider adding the 1918 zones here, if they are not used in your
6 // organization
7 //include "/etc/bind/zones.rfc1918";
8
9 controls {
10 inet 127.0.0.1 allow { localhost; } keys { rndc-key; };
11 };
12
13
14
15
16 zone "premier.fr" {
17 type master;
18 // file "/etc/bind/slave/db.ns1.premier.fr";
19 file "/etc/bind/slave/db.ns1.premier.fr.signed";
20 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
21 notify yes;
22 // also-notify {222.0.20.2; };
23 };
24
25 zone "1.10.0.111.IN-ADDR.ARPA" {
26 type master;
27 file "/etc/bind/slave/db.1.10.0.111.in-addr.arpa";
28 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
29 allow-query{any; };
30 notify yes;
31 also-notify {222.0.20.2; };
32 };
33
34
35 zone "web.com" {
36 type master;
37 file "/etc/bind/slave/db.web.com";
38 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
39 allow-query{any; };
40 notify yes;
41 also-notify {222.0.20.2; };
42 };
43
44 zone "domain.com" {
45 type master;
46 file "/etc/bind/slave/db.domain.com";
47 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
48 notify yes;
49 // also-notify {222.0.20.2; };
50 };
51
52 zone "2.20.0.222.IN-ADDR.ARPA" {
53 type master;
54 file "/etc/bind/slave/db.2.20.0.222.in-addr.arpa";
55 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
56 allow-query{any; };
57 notify yes;
58 also-notify {222.0.20.2; };
59} ;db.premier.fr
1 ; premier.fr
2 $TTL 3600
3 $ORIGIN premier.fr.
4 @ IN SOA ns1.premier.fr. root.premier.fr (
5 2016101902 ;serial
6 14400 ;refresh
7 3600 ;retry
8 1W ;expire
9 86400 ) ;Minimum
10
11 $INCLUDE "/etc/bind/dnssec/kpremier.fr.zsk.key";
12 $INCLUDE "/etc/bind/dnssec/kpremier.fr.ksk.key";
13
14
15
16 ;
17 ;NAMESERVEUR
18 ;
19
20 premier.fr. IN NS ns1.premier.fr.
21 premier.fr. IN NS ns2.domain.com.
22
23 ns1.premier.fr IN A 111.0.10.1.
24 ns2.domain.com IN A 222.0.20.2
25 premier.fr IN A 111.0.10.1
26 domain.com IN A 222.0.20.2
27
28 ;
29 ;sous domaine server mail
30 ;
31
32 @ IN MX 10 mail.premier.fr.
33 @ IN A 111.0.10.1
34 ;
35 ; Nodes in domain
36 ;
37 ns1 IN A 111.0.10.1
38 www IN A 111.0.10.1
39 ftp IN A 111.0.10.1
40 mail IN A 111.0.10.1
41 smtp IN A 111.0.10.1
42
43 imap IN A 111.0.10.1
44
45 pop3 IN A 111.0.10.1
46 mailpost IN A 111.0.10.1
47 webmail IN A 111.0.10.1
48
49 ownercheck IN TXT "clefactice"
50
51 60.145.100.198 IN PTR ns1.premier.fr.
52 60.145.100.198 IN PTR mail.premier.fr.
53
54 @ 10800 IN TXT "v=spf1 a mx -all"sur zone master j'ai cette remarque :
« Le serveur de noms ns1.test.fr a une adresse IP (198.100.145.60) qui ne correspond pas aux enregistrements "PTR" retournés (test.fr.) pour celle-ci. »
seulement quand je met l'adresse de mon site devient www.ns1.premier.fr
comment faire pour que mon adresse rester www .premier.fr .
« Les serveurs de noms de la zone retournent un enregistrement de type "DNSKEY", mais aucun enregistrement de type "DS" n'a été trouvé dans la zone parente.
L'enregistrement DS dans la zone parente n'est pas correctement signé: no_ds
OVH dis qu'il ne gère pas les enregistrements DS pour les serveur dédié, exist-il un autre moyen d'effectuer un enregistrement DS ?
db.domain.com
1 ; domain.com.
2 $TTL 3600
3 $ORIGIN domain.com.
4 @ IN SOA ns2.domain.com. root.domain.com. (
5 2016101003 ; SERIAL
6 3600; REFRESH
7 3600; RETRY
8 1W ; EXPIRE
9 86400 ) ; Negative Cache TTL
10 ;
11 ; NAMESERVERS
12 ;
13
14 domain.com. IN NS ns1.premier.fr.
15 domain.com. IN NS ns2.domain.com.
16
17 ns2.domain.com. IN A 222.0.20.2
18 domain.com. IN A 222.0.20.2
19 ;premier.fr. IN A 111.0.10.1
20 ;ns1.premier.fr. IN A 111.0.0.1
21
22 ;
23 ;Enregistrement A/AAAA
24 ;
25
26 @ IN MX 10 mail.domain.com.
27 @ IN A 222.0.20.2
28
29
30 ; Nodes in domain
31 ;
32 ns2 IN A 222.0.20.2
33 www IN A 222.0.20.2
34
35 mail IN A 222.0.20.2
36 smtp IN A 222.0.20.2
37 smtps IN A 222.0.20.2
38 imap IN A 222.0.20.2
39 imaps IN A 222.0.20.2
40 pop3 IN A 222.0.20.2
41 pop3s IN A 222.0.20.2
42 webmail IN A 222.0.20.2
43
44 ownercheck IN TXT "cléfactice"
45
46 1.10.0.111 IN PTR ns2.domain.com.
47 1.10.0.111 IN PTR mail.domain.com.
48
49 @ 10800 IN TXT "v=spf1 a mx -all"db.web.com
1 ; ets-ras.com.
2 $TTL 3600
3 @ IN SOA web.com. root.web.com. (
4 2016102001 ;SERIAL
5 3600; REFRESH
6 3600; RETRY
7 84500; EXPIRE
8 600 ) ; Negative Cache TTL
9 ;
10 ; NAMESERVERS
11 ;
12 web.com. IN NS ns1.premier.fr.
13 web.com. IN NS ns2.domain.com.
14
15
16 ;
17 ; nodes in domain
18 ;
19 www IN A 333.0.30.3
20mail IN MX …………….. (que dois-je mettre ?)
21
22 web.com. IN A 333.0.30.3
23
24
25 ownercheck.premier.fr IN TXT "cléfactice"Là je pense que vous voyez ce qui ne va pas !
Question 2 Qu'elle sont les paramètre qui sont communs et quelles sont les paramètres qui doivent être changer ?
exemple pour mail in mx quels nom de domaine dois-je utilisé, celui du domaine ou de serveur DNS ?
Enfin pour terminer j'ai un problème lors de transfert de zone entre le serveur maitre et le serveur esclave
Question 3 j'ai un problème de droit au niveau du répertoire, mais le pire c'est quand je change ces droit le transfert s'effectue, mais les noms des fichier zones reverses et db.web.com sont modifier
Pourquoi ?
les fichers zone se trouve dans un sous répertoire avec ces droit
drw-rwS--- 2 bind bind 4096 oct. 20 10:41 slave
(Serveur Ikoula)
named.conf.local
1 //
2 // Do any local configuration here
3 //
4
5 // Consider adding the 1918 zones here, if they are not used in your
6 // organization
7 //include "/etc/bind/zones.rfc1918";
8
9
10 controls {
11 inet 127.0.0.1 allow { localhost; } keys { rndc-key; };
12 };
13
14
15
16
17
18
19
20 zone "premier.fr" {
21 type slave;
22 notify yes;
23 file "/etc/bind/slave/db.ns1.premier.fr";
24 masterfile-format text;
25 masters {111.0.10.1; };
26 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
27 };
28
29 zone "domain.com" {
30 type slave;
31 notify no;
32 file "/etc/bind/slave/db.domain.com";
33 masterfile-format text;
34 masters {111.0.10.1; };
35 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
36 };
37
38
39 zone "db.2.20.0.222.in-addr.arpa" {
40 type slave;
41 notify no;
42 file "/etc/bind/slave/db.2.20.0.222.in-addr.arpa";
43 masterfile-format text;
44 masters {111.0.10.1; };
45 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
46 };
47
48 zone "db.1.10.0.111.in-addr.arpa" {
49 type slave;
50 notify no;
51 file "/etc/bind/slave/db.1.10.0.111.in-addr.arpa";
52 masterfile-format text;
53 masters {111.0.10.1; };
54 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
55 };
56
57 zone "web.com" {
58 type slave;
59 notify no;
60 file "/etc/bind/slave/web.com";
61 masterfile-format text;
62 masters {111.0.10.1; };
63 allow-transfer {127.0.0.1; 111.0.10.1; 222.0.20.2; }; //déclaration du serveur dns esclave
64 };merci d'avance
ps: de retour ce soir
Dernière modification par GhostSpirit (Le 18/01/2017, à 12:27)
Apprendre, comprendre, progresser, et apprendre aux autres, telle est ma devise
http://forum.ubuntu-fr.org/viewforum.php?id=171
Hors ligne
#2 Le 22/10/2016, à 11:09
- bruno
Re : question théorique et pratique serveur DNS Bind9
Bonjour,
Attention certaines de mes réponses sont RTFM 
(ou plutôt lire la bonne documentation)
Question 1 : http://web.mit.edu/rhel-doc/4/RH-DOCS/r … -rndc.html
A priori tu n'en aura pas besoin.
Question suivante concernant les erreurs sur les fichiers de zone.
Avant d'utiliser des services web pour tester ta configuration, sers-toi des outils de bind : named-checkconf et named-checkzone et enfin dig pour vérifier les enregistrements.
Ta syntaxe dans ton fichier de zone db.premier.fr n'est pas cohérente et il y a beaucoup de doublons et des erreurs. (lire http://web.mit.edu/rhel-doc/4/RH-DOCS/r … -zone.html et https://wiki.debian.org/fr/Bind9#Les_Re … _.28RR.29).
Dernière modification par bruno (Le 22/10/2016, à 11:10)
#3 Le 23/10/2016, à 15:46
- GhostSpirit
Re : question théorique et pratique serveur DNS Bind9
salut bruno,
à force de lire, ces TFM, j'en ai mal à ma tête.
j'ai dejà utilisé named-checkconf -z et named-checkzone : aucune erreurs signalé !
dig un petit peut, mais je ne sais sais pas encore vraiment l'utilisé.
c'est surtout, web.com qui m'ennuie.
je vais chercher un manuel sur l'utilisation de dig.
Merci
Cordialement
Apprendre, comprendre, progresser, et apprendre aux autres, telle est ma devise
http://forum.ubuntu-fr.org/viewforum.php?id=171
Hors ligne
#4 Le 23/10/2016, à 15:59
- bruno
Re : question théorique et pratique serveur DNS Bind9
Cela m'étonne que named-checkzone ne te signale pas d'erreurs…
Déjà tu mélanges zone directe et zone inverse dans le même fichier, tu mélanges deux domaines (premier.fr, domaine.com) dans la même zone, enfin tu utilise l'@ à mauvais escient (voir la doc car c'est probablement ce qui est).
Si cela te semble trop compliqué à apprendre, il vaut mieux que tu laisse tomber la configuration de Bind et que tu utilises directement les DNS OVH et leur interface de configuration.
#5 Le 26/10/2016, à 06:32
- GhostSpirit
Re : question théorique et pratique serveur DNS Bind9
bonjour bruno,
Merci pour les infos,
laissez tomber ne fait pas partie de mon vocabulaire.
voici le retour de named-checkconf -z
zone premier.fr/IN: 'premier.fr' found SPF/TXT record but no SPF/SPF record found, add matching type SPF record
zone premier.fr/IN: loaded serial 2016102106
zone 1.10.0.111.IN-ADDR.ARPA/IN: loaded serial 2016100401
zone web.com/IN: loaded serial 2016102202
zone domain.com/IN: 'domain.com' found SPF/TXT record but no SPF/SPF record found, add matching type SPF record
zone domain.com/IN: loaded serial 2016102106
zone 2.20.0.222.IN-ADDR.ARPA/IN: loaded serial 2016100401
/etc/bind/slave/db.web.com:3: ignoring out-of-zone data (web.com)
/etc/bind/slave/db.web.com:23: ignoring out-of-zone data (web.com)
zone db.3.30.0.333.in-addr.arpa/IN: has 0 SOA records
zone db.3.30.0.333.in-addr.arpa/IN: has no NS records
zone db.3.30.0.333.in-addr.arpa/IN: not loaded due to errors.
_default/db.3.30.0.333.in-addr.arpa/IN: bad zone
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1 named-checkzone premier.fr db.ns1.premier.fr
root@ns1:/etc/bind/slave# named-checkzone premier.fr db.ns1.premier.fr
zone premier.fr/IN: 'premier.fr' found SPF/TXT record but no SPF/SPF record found, add matching type SPF record
zone premier.fr/IN: loaded serial 2016102106
OK Cordialement
Dernière modification par GhostSpirit (Le 26/10/2016, à 07:41)
Apprendre, comprendre, progresser, et apprendre aux autres, telle est ma devise
http://forum.ubuntu-fr.org/viewforum.php?id=171
Hors ligne
#6 Le 26/10/2016, à 08:06
- bruno
Re : question théorique et pratique serveur DNS Bind9
Donc tu as bien des erreurs…
Tu fais trop de choses en me temps sans prendre le temps de comprendre et de corriger les erreurs au fur et à mesure.
Occupons-nous uniquement de la résolution directe (nom vers IP) pour premier.fr. Voici ce que cela pourrait être une fois corrigé :
; premier.fr
$TTL 3600
@ IN SOA ns1.premier.fr. root.premier.fr (
2016101902 ;serial
14400 ;refresh
3600 ;retry
1W ;expire
86400 ) ;Minimum
;
;les dns primaire et secondaire faisant autorité sur le domaine premier.fr.
;
IN NS ns1.premier.fr.
IN NS ns2.domain.com.
; ip du serveur premier.fr.
IN A 111.0.10.1
;
; serveur de courriel, MX, et SPF
;
IN MX 10 mail.premier.fr.
10800 IN TXT "v=spf1 a mx -all"
10800 IN SPF "v=spf1 a mx -all"
;
; Nodes in domain
;
ns1 IN A 111.0.10.1
www IN A 111.0.10.1
ftp IN A 111.0.10.1
mail IN A 111.0.10.1
smtp IN A 111.0.10.1
imap IN A 111.0.10.1
pop3 IN A 111.0.10.1
mailpost IN A 111.0.10.1
webmail IN A 111.0.10.1
ownercheck IN TXT "clefactice"J'ai nettoyé la configuration des choses redondantes, supprimé le $ORIGIN et l'utilisation de @ qui conduisait à des erreurs, supprimé les enregistrement PTR qui n'ont rien à faire dans la zone directe, ajouté l'enregistrement SPF pour répondre a l’avertissement de bind (mais ce n'est pas une erreur bloquante), etc.
Voilà commence déjà par faire des zones directe propres et claires, ensuite tu pourra ajouter une couche DNSSEC.
Pour tes zones inverses c'est inutile, car s'il s'agit d'IP publiques chez des hébergeurs (OVH, etc) tu n'as probablement pas de délégation pour les gérer. Tout au plus un champ dans la console d'administration de l'hébergeur puyr définir un « reverse ».
#7 Le 26/10/2016, à 11:32
- GhostSpirit
Re : question théorique et pratique serveur DNS Bind9
Merci bruno,
named-checkconf -z
zone premier.fr/IN: loaded serial 2016102504
zone domain.com/IN: loaded serial 2016102501
zone web.com/IN: loaded serial 2016102501
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1root@ns1:/etc/bind# named-checkzone premier.fr slave/db.ns1.premier.fr
zone premier.fr/IN: loaded serial 2016102504
OK
root@ns1:/etc/bind# cd slave
root@ns1:/etc/bind/slave# named-checkzone domain.com db.domain.com
zone domain.com/IN: loaded serial 2016102501
OK
root@ns1:/etc/bind/slave# named-checkzone web.com db.web.com
zone web.com/IN: loaded serial 2016102501
OKpar contre pour web.com j'ai toujours la note C sous dnsinspect
------------------------------------------------------------
All Name Servers Responded
FAIL: While quering domain's records, some of your name servers didn't responded. Name servers which didn't responded:
udp4:222.0.20.2
---------------------------------------------------------
Identical NS Records
FAIL: We found different NS records on your name servers:
udp4:111.0.10.1: [ns1.premier.fr. ns2.domain.com.]
udp4:222.0.20.2: []
Each name server should return identical NS records.
Dernière modification par GhostSpirit (Le 26/10/2016, à 11:52)
Apprendre, comprendre, progresser, et apprendre aux autres, telle est ma devise
http://forum.ubuntu-fr.org/viewforum.php?id=171
Hors ligne
#8 Le 26/10/2016, à 13:13
- bruno
Re : question théorique et pratique serveur DNS Bind9
Il te reste donc à corriger ces deux problèmes.
Pages : 1