Configuration d'un serveur DNS secondaire

Pour configurer un serveur DNS secondaire, la procédure est très simple. On installe BIND sur une machine quelconque, et on édite le fichier /etc/bind/named.conf.local.

Attention:

Contrairement au serveur principal, pas besoin des informations sur Git, puisque l’on récupère toutes les informations du serveur principal !

L’opération va essentiellement consister à ajouter une configuration pour l’ensemble des zones du serveur principal, sous cette forme :

zone "picasoft.net" {
        type slave;
        file "/var/cache/bind/db.picasoft.net";
        masters{91.224.148.84;};
        allow-transfer{none;};
};

On spécifie la zone ainsi que le serveur principal où aller chercher les informations (ici l’IP d’Alice, 91.224.148.84). On choisit également un fichier où la zone sera mise en cache (db.picasoft.net).

Attention:

Cette opération “à la main” est assez pénible, par exemple à chaque nouveau reverse il faudra modifier la configuration de tous les serveurs DNS secondaires, car nouveau reverse = nouvelle zone. On pourra envisager de versionner un fichier de configuration sur Git.

Important:

Le serveur DNS secondaire doit être listé au niveau du registrar et doit être autorisé à récupérer la zone dans la configuration du serveur principal, sinon ça ne fonctionnera pas.

Pour vérifier que tout marche bien, on démarre BIND et on vérifie les logs :

systemctl restart bind9
systemctl status bind9

Les serveurs secondaires sont capables de répondre aux requêtes DNS de la zone, en particulier quand le serveur principal tombe. Il n’y a rien à faire pour cela, c’est automatique.

En revanche, la gestion de la configuration se fait toujours sur le serveur principal (ici Alice).

Si on devait perdre le serveur principal pour une longue durée, il faut basculer un serveur secondaire en serveur principal.

Note:

On parle de plusieurs jours : on voit sur le header du fichier de zone que la copie de la zone sur les serveurs secondaires est valable pendant 28 jours. Passé ce délai, si le serveur principal ne donne plus de nouvelle, la zone est invalidé et les serveurs secondaires ne répondent plus aux requêtes (et là ça devient très ennuyeux).

La procédure serait approximativement :

  • On restaure un fichier de configuration de la zone sur un serveur secondaire
  • On change la liste des serveurs DNS de la zone auprès de notre registrar
  • On met à jour l’enregistrement SOA pour refléter le nouveau serveur principal
  • technique/adminsys/dns/secondaire.txt
  • de rdelaage