Planet-Libre

lmns972 : Mise en place d’un dns secondaire

lundi 1 octobre 2012 à 10:16

Je pars du principe que votre serveur DNS est installé et fonctionnel . Le serveur DNS utilisé par la suite sera Bind.

# named -v
BIND 9.7.3

J’ai un fichier zones.conf

acl SLAVE {
	xx.xx.XX.XX;
	yy.yy.yy.yy;
};

zone "domain.com" {
        type master;
	notify yes; 
	also-notify { xx.xx.XX.XX; yy.yy.yy.yy;}; 
        allow-transfer { SLAVE; };
	allow-query { any; }; 
        file "/etc/bind/master/domain.com";

Tout cela veut dire quoi ?

acl SLAVE => Correspond à l’ensemble de vos serveurs DNS
Type master => Serveur faisant autorité
Also-notify => Les serveurs qui recevront les notifications
Allow-transfer => Serveurs autorisés à demander un transfert de zones . Dans notre cas on utilise l’acl SLAVE
Allow-query => Qui peut interroger la zone
file => Le fichier de configuration de la zone

Comme vous aurez besoins de voir ce qu’il se passe , il faudra activer les logs un article a déjà été fait ici .

Sur le serveur slave

zone "domain.com" {
        type slave;
        file "/etc/bind/zones/slave/domain.com";
	masters { aa.aa.aa.aa; };

Il vous reste plus qu’à modifier qu’à tester .

Dans les logs vous devriez avoir .

21-Sep-2012 15:06:05.927 zone domain.com/IN: sending notifies (serial 2012092101)
21-Sep-2012 15:06:06.380 client aa.aa.aa.aa#64995: received notify for zone 'domain.com'

Petit plus nous allons ajouter les graphes munin . Je ne vais pas expliquer la mise en place elle est décrite ici.

Activez les 2 plugins suivants dans plugins/:

ln -s /usr/share/munin/plugins/bind9 bind9
ln -s /usr/share/munin/plugins/bind9_rndc bind9_rndc

Il faut modifier le fichier munin-node

[bind9_rndc]
user root
env.querystats /var/cache/bind/named.stats

[bind9]
env.logfile   /var/log/bind/queries.log

Biensur je vous laisse adapter en fonction de votre configuration. Il est cependant possible que cela ne fonctionne pas du premier coup . Vérifiez la présence du fichier bind9.stats dans /var/lib/munin/plugin-state . Si il n’existe pas créez le , il faut penser à mettre les bons droits également . Pour le named.stats , une initialisation pourra également être nécessaire « rndc stats » .

On pourrait aller plus loin en mettant en place TSIG entre le master et le(s) slave afin de sécuriser les données transmises mais également s’assurer de l’identité de Mr ou Mlle Michu . Cela sera certainement vu dans un prochain billet .

Original post of lmns972.Votez pour ce billet sur Planet Libre.