Configuration d'une redondance DNS
Je suis dans la situation suivante : j'ai une machine exécutant entre autres un serveur DHCP et un serveur DNS, et je souhaite réinstaller cette machine. Problème, si je la réinstalle, le DHCP et le DNS seront indisponibles. Il me faut donc redonder ces deux services pour ne pas perturber les autres machines. Après la redondance DHCP, ce billet aborde la redondance DNS. Ce billet, comme le précédent, n'aborde pas la configuration complète d'un serveur DNS mais détaille les options de configurations liées à la redondance
Une redondance basique dans un LAN est très facile à mettre en œuvre car il n'y a pas besoin de modifier quoi que ce soit chez un registrar. Il faudra cependant ajouter l'adresse IP du second serveur DNS dans la configuration de toutes les machines ayant une adresse IP statique, car celles-ci ne récupèrent pas la liste des serveurs DNS via DHCP. Une redondance DNS se compose généralement d'au moins deux serveurs : un serveur maître et un ou plusieurs serveurs esclaves. Toutes nos futures modifications dans le DNS s'effectueront sur le serveur maître et seront répliquées automatiquement vers le serveur esclave. Dans notre cas, le serveur maître utilise NetBSD 4.0 et le serveur esclave utilise NetBSD 5.1; dans les deux cas, ISC Bind est utilisé dans sa version embarquée avec l'OS, et configuré dans un chroot.
Sur notre serveur maître, configurons nos zones dans le fichier /var/chroot/named/etc/named.conf :
zone "anotherhomepage.loc" IN {
type master;
file "anotherhomepage.loc";
allow-update { none; };
allow-query { any; };
allow-transfer { 10.13.37.11; };
};
zone "37.13.10.in-addr.arpa" IN {
type master;
file "anotherhomepage.loc.reverse";
allow-update { none; };
allow-query { any; };
allow-transfer { 10.13.37.11; };
};
Remarquons que nous autorisons le transfert vers 10.13.37.11 qui est le serveur esclave. Continuons dans le fichier de zone anotherhomepage.loc dont voici quelques extraits :
$TTL 86400
@ IN SOA ns0.anotherhomepage.loc. nils.anotherhomepage.loc. (
2011042601 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D ; Minimum TTL
)
; Name servers
anotherhomepage.loc. IN NS ns0
anotherhomepage.loc. IN NS ns1
; Mail servers
anotherhomepage.loc. IN MX 10 mail
; "A" entries
ns0 IN A 10.13.37.10
ns1 IN A 10.13.37.11
mail IN A 10.13.37.12
Notre serveur esclave est donc renseigné pour le DNS, voyons voir dans le DNS inverse, fichier de zone anotherhomepage.loc.reverse :
$TTL 86400
@ IN SOA ns0.anotherhomepage.loc. nils.anotherhomepage.loc. (
2011042601 ; Serial
8H ; Refresh
2H ; Retry
4W ; Expire
1D ; Minimum TTL
)
IN NS ns0.anotherhomepage.loc.
IN NS ns1.anotherhomepage.loc.
IN MX 10 mail.anotherhomepage.loc.
10 IN PTR ns0.anotherhomepage.loc.
11 IN PTR ns1.anotherhomepage.loc.
12 IN PTR mail.anotherhomepage.loc.
Occupons-nous à présent de notre serveur esclave. De ce côté, un seul fichier à modifier, /var/chroot/named/etc/named.conf, car les autres seront transférés par les mises à jour de zone :
zone "anotherhomepage.loc" IN {
type slave;
masters { 10.13.37.5; };
file "anotherhomepage.loc";
allow-update { 10.13.37.5; };
allow-query { any; };
allow-notify { 10.13.37.5; };
};
zone "37.13.10.in-addr.arpa" IN {
type slave;
masters { 10.13.37.10; };
file "anotherhomepage.loc.reverse";
allow-update { 10.13.37.10; };
allow-query { any; };
allow-notify { 10.13.37.10; };
};
Il ne reste maintenant qu'à vérifier notre configuration. Par défaut, les logs vont dans /var/log/messages. Vous pouvez définir un autre emplacement pour les logs, comme par exemple :
logging {
channel simple_log {
file "/var/log/named/bind.log" ;
severity info;
print-time yes;
print-severity yes;
print-category yes;
};
category default{
simple_log;
};
category queries{
simple_log;
};
};
Cet exemple est à insérer dans votre named.conf.Incrémentons les numéros de série, effectuons une relance de bind sur le serveur esclave puis le serveur maître :
root@ns0:/var/chroot/named/var# /etc/rc.d/named reload
Reloading named config files.
Regardons le résultat sur le serveur esclave pour la relance du serveur maître :
root@ns1:/var/chroot/named/etc# tail -f /var/chroot/named/var/log/named/bind.log
26-Apr-2011 19:14:10.864 notify: info: client 10.13.37.5#64893: received notify for zone '37.13.10.in-addr.arpa'
26-Apr-2011 19:14:10.923 general: info: zone 37.13.10.in-addr.arpa/IN: Transfer started.
26-Apr-2011 19:14:10.924 xfer-in: info: transfer of '37.13.10.in-addr.arpa/IN' from 10.13.37.5#53: connected using 10.13.37.60#65525
26-Apr-2011 19:14:11.335 general: info: zone 37.13.10.in-addr.arpa/IN: transferred serial 2011042601
26-Apr-2011 19:14:11.336 xfer-in: info: transfer of '37.13.10.in-addr.arpa/IN' from 10.13.37.5#53: Transfer completed: 1 messages, 258 records, 8672 bytes, 0.411 secs (21099 bytes/sec)
27-Apr-2011 19:14:11.337 notify: info: zone 37.13.10.in-addr.arpa/IN: sending notifies (serial 2011042601)
26-Apr-2011 19:14:11.383 notify: info: client 10.13.37.5#64893: received notify for zone 'anotherhomepage.loc'
26-Apr-2011 19:14:11.388 general: info: zone anotherhomepage.loc/IN: Transfer started.
26-Apr-2011 19:14:11.390 xfer-in: info: transfer of 'anotherhomepage.loc/IN' from 10.13.37.5#53: connected using 10.13.37.60#65524
26-Apr-2011 19:14:11.654 general: info: zone anotherhomepage.loc/IN: transferred serial 2011042601
26-Apr-2011 19:14:11.654 xfer-in: info: transfer of 'anotherhomepage.loc/IN' from 10.13.37.5#53: Transfer completed: 1 messages, 268 records, 8464 bytes, 0.263 secs (32182 bytes/sec)
26-Apr-2011 19:14:11.657 notify: info: zone anotherhomepage.loc/IN: sending notifies (serial 2011042601)
Houra ! Les transferts ont eu lieu ! Maintenant, il reste à modifier dans notre serveur DHCP les adresses IP des serveurs DNS. Dans le cas d'ISC DHCP :
option domain-name-servers 10.13.37.10, 10.13.37.11;
Notez que ce billet permet une redondance assez basique, et loin d'être totalement sécurisée : quelqu'un d'assez malin peut, en utilisant une attaque de type “Man-in-the-middle” peut appliquer des modifications au serveur esclave. Pour les personnes qui aimeraient corriger ce défaut, il faut se tourner vers DNSSEC.