Skip to main content

DNS Serveurs Autoritaires

Output

Installer un serveur DNS autoritaire est relativement simple et vous permet de gérer et administrer votre propre service de résolution DNS. Il existe plusieurs logiciels pour cela, tels que nsd, bind et powerdns, chacun ayant ses avantages et ses inconvénients.

  • nsd est très efficace et capable d'héberger des serveurs DNS à très forte affluence.
  • bind permet des configurations mixtes, mais peut être dangereux à la fin et devrait être évité si possible.
  • PowerDNS offre un système de stockage en base de données et propose une infrastructure de modification DNS.

La Délégation

Pour que les requêtes DNS parviennent à votre serveur, l'adresse IP doit être référencée derrière une entrée NS de la zone. Pour cela, elle doit être définie à plusieurs endroits.

  • Dans la zone hébergée sur votre serveur.
  • Mais aussi dans le domaine de plus haut niveau de votre zone : c'est ce qu'on appelle la délégation.

Par exemple, si une entreprise a un domaine principal appelé "example.com" et souhaite gérer des sous-domaines appartenant à différents départements (ventes, marketing, ingénierie), elle peut diviser le domaine "example.com" en sous-domaines tels que "sales.example.com", "marketing.example.com", "engineering.example.com" et autoriser chaque sous-domaine sur ses propres serveurs DNS.

Ce processus d'autorisation permet une gestion DNS plus efficace et organisée. Les enregistrements DNS de chaque sous-domaine sont gérés par le serveur DNS autorisé du sous-domaine correspondant, et ces serveurs ont l'autorité sur les enregistrements de leur propre domaine.

Glue Records

Une chose appelée "glue records" permet également de référencer la résolution des entrées NS dans la zone en amont et vous permet d'utiliser des noms NS propres à votre zone DNS. Par exemple, si vous hébergez la zone devops.dev avec deux serveurs DNS ns1.devops.dev et ns2.devops.dev, vous devriez :

  • Renseigner dans votre zone devops.dev deux entrées NS qui contiennent ns1.devops.dev et ns2.devops.dev, puis deux entrées de type A pour ns1 et ns2 qui pointent vers l'IP de votre serveur.
  • Renseigner chez le registrar dev la délégation vers ns1.devops.dev. et ns2.devops.dev.
  • Stocker chez le registrar dev deux entrées nommées "glue record" qui contiennent les mêmes entrées A pour ns1 et ns2 que dans votre zone.

Pour éviter d'utiliser des "glue records", il suffit d'utiliser des entrées NS qui n'appartiennent pas à votre zone.

Attention, lors de la mise en place d'un service DNS professionnel, vous avez besoin d'au moins 2 serveurs DNS situés sur des réseaux différents (idéalement des AS différents). Il est également recommandé d'avoir une connectivité IPv4 et IPv6 pour assurer une redondance.