Re: Problème pour résoudre un nom avec Bind

To: debian-user-french@lists.debian.org
Subject: Re: Problème pour résoudre un nom avec Bind
From: Marc PERRUDIN <perrudin@nerim.net>
Date: Thu, 01 Sep 2005 16:08:12 +0200
Message-id: <[🔎] 43170B4C.1060300@nerim.net>
In-reply-to: <[🔎] 87y86hq7tc.fsf@mersenne.tourde.home>
References: <43147C41.1020509@laposte.net> <20050830154511.GA23547@sources.org> <20050831105646.2d0321d3.user.anti-spam@maison.homelinux.net> <1125479678.957957.57030@z14g2000cwz.googlegroups.com> <20050831120150.002dbc90.user.anti-spam@maison.homelinux.net> <87psrufl8z.fsf_-_@mersenne.tourde.home> <20050831200817.GA14427@sources.org> <878xyhsrxi.fsf@mersenne.tourde.home> <[🔎] 20050901093012.GA22629@sources.org> <[🔎] 87y86hq7tc.fsf@mersenne.tourde.home>

François TOURDE a écrit :

>Le 13027ième jour après Epoch,
>Stephane Bortzmeyer écrivait:
>
>  
>
>>Avec les types NS ou SOA, oui, ça n'a de sens que pour une zone (j'ai
>>bien dit zone et pas domaine, tous les domaines ne sont pas des zones,
>>par exemple asso.re n'est pas une zone alors que asso.fr l'est).
>>    
>>
>
>Dis moi si je me trompe (notion pas forcément claire dans mon cas),
>mais une *zone* c'est un (sous-)domaine pris en charge et déclaré dans
>un DNS, c'est bien ça?
>  
>
C'est bien ca. Un petit exemple pour mieux comprendre. Si tu as un
domaine domaine.fr et que tu veux créer un sous domaine sous.domaine.fr,
tu as 2 possibilités, soit tu l'integre a ta zone domaine.fr avec des
entrées comme :

...
www.sous      IN   A   1.2.3.4
...

dans ce cas, sous.domaine.fr est un sous domaine mais pas une zone.

Soit tu declare la zone sous.domaine dans le named.conf de ton bind avec
une conf du genre :

zone "sous.domaine.fr" {
    ...
    options
    ...
}

puis dans la zone, tu declare tes entrées:

...
www   IN   A   1.2.3.4
...

dans ce cas, sous.domaine.fr est une zone.

C'est pour cette raison que seul les zones peuvent avoir un SOA et des
NS, les sous-domaines qui ne sont pas des zones ont les SOA et NS de la
zone a laquelle ils appartiennent.

>  
>
>>Beaucoup d'administrateurs DNS ne maintiennent pas cette information,
>>puisqu'elle ne sert qu'à la documentation, contrairement aux NS qui
>>ont un rôle concret.
>>
>>Exemple ? Le domaine "sn", par exemple.
>>    
>>
>
>Arf :( ... Du coup, comment fait-on pour avoir le DNS primaire d'une
>zone? On les interroge tous jusqu'à ce que l'un d'eux réponde qu'il
>est autoritaire sur la zone?
>  
>
Il ne faut pas confondre primaire et autoritaire. Un serveur dns declaré
avec une entrée NS pour une zone est autoritaire pour cette zone. Le
serveur primaire est normalement celui qui possede la map qui est
repliquée sur l'ensemble des autres dns. Un serveur dns peut avoir la
map d'une zone sans etre autoritaire, il suffit pour cela qu'il soit
dans les allow-transfert d'un serveur qui possede deja la map.
Les SOA mal configurés le sont parfois volontairement, certains experts
securités le conseillent pour rendre les attaques plus difficiles (le
pirate doit d'abord trouver le SOA et souvent dans ce cas le SOA n'est
pas accessible depuis Internet).
Autre detail, certain systeme dns peuvent avoir plusieurs SOA, c'est le
cas des DNS windows qui utilise l'annuaire AD en multi-maitre.

>/F - Qui a trop tendance à penser que les admins sont 'propres' dans
>ce qu'ils font ;)
>
>  
>

Reply to:

Follow-Ups:
- Re: Problème pour résoudre un nom avec Bind
  - From: fra-duf-no-spam@tourde.org (François TOURDE)

References:
- Re: Problème pour résoudre un nom avec Bind
  - From: Stephane Bortzmeyer <stephane@sources.org>
- Re: Problème pour résoudre un nom avec Bind
  - From: fra-duf-no-spam@tourde.org (François TOURDE)

Prev by Date: Re: Problème pour résoudre un nom avec Bind
Next by Date: Re: Plusieurs versions de java sur le même poste
Previous by thread: Re: Problème pour résoudre un nom avec Bind
Next by thread: Re: Problème pour résoudre un nom avec Bind
Index(es):
- Date
- Thread