Skip to Content

Installation d’un serveur DNS Bind 9 sur Debian

But de ce document

Ce document me sert de mémo pour installer un serveur Bind 9 sur une Debian. Ce document a été testé sur Debian Etch et Debian Sarge. Je le diffuse en espérant qu’il puisse servir à d’autres personnes.

Pré-requis

Avoir installé une Debian de Base :

  •  cf mon autre document sur ce sujet : http://www.coagul.org/article.php3 ?id_article=158

    Présentation rapide d’un système DNS

    L’architecture de réseau TCP/IP sur lequel est basé Internet et la plupart des réseaux locaux actuels, utilisent des adresses IP numériques du type 192.168.0.1. Mais pour faciliter la lecture de ces adresses par l’homme, un système permet de transformer ces adresses en adresses plus lisibles comme www.coagul.org

    Pour effectuer cette opération, il est nécessaire d’utiliser des serveurs DNS. Un serveur DNS fera donc la correspondance entre les adresses IP et les noms des domaines.

    Un serveur DNS s’occupe en général d’un domaine limité et s’occupe de transmettre les questions à d’autres serveurs s’il ne connaît pas la réponse.

    Principe de fonctionnement de la recherche de noms

    Lorsque qu’une demande de résolution de nom est demandée, Linux commence par regarder le fichier « /etc/hosts.conf :

    order hosts,bind
    multi on

    La première ligne de ce fichier indique qu’il faut commencer la recherche en regardant la table hosts locale et ensuite il faut interroger le serveur DNS.

    La table hosts locale est enregistrée dans le fichier « /etc/hosts  » elle contient une table de correspondance entre des adresses IP et des noms, elle ressemble à :

    127.0.0.1       localhost.localdomain   localhost
    192.168.0.6     debian1.mondomaine.com     debian1

    La première ligne est obligatoire pour que le système fonctionne même quand le réseau est désactivé. L’adresse IP 127.0.0.1 est toujours associée au nom localhost.

    Les lignes suivantes peuvent être ajoutées manuellement pour faire la correspondance entre des adresses IP et des noms. C’est ce qui est fait en l’absence de serveur DNS.

    Si le résultat n’est pas trouvé dans la table hosts,le système recherche le serveur DNS indiqué dans le fichier « /etc/resolv.conf » :

    search mondomaine.com
    nameserver 192.168.0.1
    nameserver 194.2.0.50

    La première ligne indique quel domaine il faut ajouter au noms si celui-ci n’est pas indiqué lors d’une demande de résolution de nom. Exemple :

  •  ping monserveur.mondomaine.com -> Aucun domaine ne sera ajouté lors de la résolution du nom, car le domaine est fourni.
  •  ping monserveur -> Le domaine mondomaine.com, sera ajouté avant d’effectuer la demande de résolution du nom (La recherche du nom, portera donc sur monserveur.mondomaine.com)

    La deuxième ligne indique le serveur DNS principal.

    Et c’est donc le serveur DNS qui sera chargé de donner le résultat s’il connaît la réponse ou de transmettre la question à un autre serveur DNS.

    Si le serveur principal n’est pas disponible, le serveur DNS indiqué sur la ligne suivante sera utilisé.

    Pourquoi installer un serveur DNS

    Pour au moins deux raisons :

  •  Éviter de tenir à jour la table hosts de chaque poste client d’un réseau.
  •  Avoir un cache DNS qui accélère la recherche des noms.
  •  Sur un réseau locale, un serveur DNS permet d’accélérer le trafic sur le réseau car de nombreux services ont besoins d’un serveur DNS bien configuré pour fonctionner correctement (WEB, POP, SMTP,..)

    Installation de Bind 9

    Sous Debian, il faut installer le paquet suivant :

    # aptitude install bind9

    Fichier de Configuration Principal (/etc/bind/named.conf)

    Le fichier de Configuration principal « /etc/bind/named.conf » contient la liste des zones (ou domaines) que le serveur DNS doit prendre en charge.

    Voici un exemple de description de zone :

    zone "mondomaine.com" {
           type master;
           file "/etc/bind/db.mondomaine.com";
           forwarders{};
    };

    mondomaine.com  : Nom du domaine à prendre en charge

    type master : Cette ligne indique que le serveur est le serveur principal de ce domaine.

    file "/etc/bind/db.mondomaine.com" ; :Cette ligne donne le chemin du fichier qui contiendra la correspondance entre les noms et les adresses IP pour ce domaine.

    Fichier de configuration secondaire

    Pour chaque domaine à gérer, il faut créer le fichier indiqué dans «  named.conf  ». Dans l’exemple précédent, il faudra créer le fichier « /etc/bind/db.mondomaine.com »

    Voici le contenu de ce fichier :

    $TTL    604800
    @ IN SOA pgdebian.mondomaine.com. root.mondomaine.com.  (
            20041122   ; Serial  -> N° de série à incrémenter à chaque modif
                       ;            de ce fichier. Ce N° est utilisé par les
                       ;            serveurs esclaves pour lui indiquer qu'il
                       ;            doit mettre à jour sa base. Par commodité
                       ;            ce n° est une date à l'envers.
            604800     ;Refresh ->  A l'expiration du délai Refresh exprimé en
                       ;            secondes, le serveur excalve va entrer en
                       ;            communication avec le maitre et si il ne
                       ;            le trouve pas, il fera une nouvelle
                       ;            tentative au bout du délai Retry et si au
                       ;            bout du délai Expire il considerera que le
                       ;            serveur n'est plus disponible.
            86400      ; Retry
            2419200    ; Expire
            604800 )   ; Minimum -> Durée de vie minimum du cache en secondes

    ;** Les 3 lignes suivantes permettent au serveur de se retrouver lui même
                   NS      pgdebian.mondomaine.com.        ;Nom du serveur
    pgdebian        A       192.168.0.3                     ;Adresse IP du
                                                           ;serveur de noms
    pgdebian        HINFO   "PII 233 :-)" "Debian Testing"  ;Info
    complèmentaire

    ;** Les lignes suivantes définissent la table entre les noms et les IP
    pglinux         A       192.168.0.1
    pg-cao          A       192.168.0.2
    plgmao          A       192.168.0.9
    cpi             A       192.168.0.10
    prod            A       192.168.0.100
    pgcie           A       10.2.2.1

    ;** Les lignes suivantes sont des alias entre des noms et des autres noms
    pop             CNAME   pglinux
    smtp            CNAME   pglinux
    www             CNAME   pglinux
    ldap            CNAME   pgdebian

    La première partie est utilisée pour la gestion maître-esclave des serveurs DNS.

    La deuxième partie permet au serveur DNS de se retrouver lui-même.

    La troisième partie contient la table de correspondance entre les noms et les adresses IP.

    La dernière partie donne les alias possibles pour un même nom de serveur.

    Résolution Inverse

    De nombreux services réseaux utilisent la résolution inverse (Trouver l’adresse IP à partir du nom) pour vérifier que le nom est valide.

    Il est donc nécessaire de configurer le serveur pour qu’il prenne également en charge la résolution inverse.

    Le principe est quasiment le même que pour la résolution classique. il faut déjà définir le domaine inverse dans le fichier « named.conf  » comme dans l’exemple suivant :

    zone "0.168.192.in-addr.arpa" {
           type master;
           file "/etc/bind/db.mondomaine.com.inv";
           forwarders{};
    };

    L’adresse IP doit être indiquée à l’envers et il faut ajouter .in-addr.arpa.

    Il faut également définir un nouveau fichier qui ressemblera à ceci :

    $TTL    604800
    @       IN      SOA     pgdebian.mondomaine.com.
    root.mondomaine.com.  (
                          20041122        
                            604800        
                             86400        
                           2419200        
                            604800 )      

                   NS      pgdebian.mondomaine.com.  

    1               PTR     pglinux.mondomaine.com.  
    2               PTR     pg-cao.mondomaine.com.  
    3               PTR     pgdebian.mondomaine.com.  
    9               PTR     plgmao.mondomaine.com.  
    10              PTR     cpi.mondomaine.com.  
    100             PTR     prod.mondomaine.com.  

    La première partie est utilisée pour la gestion maître-esclave des serveurs DNS.

    La deuxième partie donne le nom du serveur DNS (NS = Name Server).

    La troisième partie contient la correspondance entre la fin de l’adresse IP et le nom du serveur.

    Pour finir, il est conseillé (mais pas obligatoire) d’indiquer les adresses IP des serveurs DNS de son fournisseur d’accès à Internet. Pour cela, il faut décommenter et renseigner la section suivante du fichier « /etc/bind/named.conf.options » :

    forwarders {
                   194.2.0.50;
                   194.2.0.20;
    };

    Démarrer le démon

    Après chaque modification des fichiers de configuration, il faut redémarrer le démon :

    /etc/init.d/bind9 restart

    ATTENTION : Il est vivement conseillé de regarder les logs pour vérifier que le démarrage du démon s’est correctement effectué :

    tail -30 /var/log/syslog

    Installer un serveur secondaire esclave (slave)

    Installation du serveur esclave

    La mise en place d’un serveur secondaire sur un réseau important est vivement recommandé pour éviter toute panne de résolutions de noms en cas de dysfonctionnement du serveur principale.

    Sur le deuxième serveur, il faut également installer bind :

    # aptitude install bind9

    Configuration du serveur maître

    Sur le serveur principal, il faut modifier les zones du fichier « /etc/bind/named.conf », pour ajouter la ligne « notify yes ». Exemple :

    zone "mondomaine.com" {
           type master;
           notify yes;
           file "/etc/bind/db.mondomaine.com";
           forwarders{};
    };

    Sur le serveur principal, il faut ajouter dans chaque zone à exporter une ligne « NS » pour chaque serveur esclave. Exemple :

    NS      ServeurEsclave1.mondomaine.com.  ;Nom du serveur esclave N°1
    NS      ServeurEsclave2.mondomaine.com.  ;Nom du serveur esclave N°2

    Sur le serveur principal, il faut autoriser Bind à transférer les données vers le serveur secondaire en ajoutant cette ligne dans « /etc/bind/named.conf.options » :

    allow-transfer { 192.168.0.1; };

    Remarque  : Il faut remplacer l’adresse IP par celle de votre serveur esclave.

    Configuration du serveur esclave

    Sur le serveur esclave, il faut ajouter dans le fichier « /etc/bind/named.conf.local », les zones à importer du serveur principal. Voici un exemple :

    zone "mondomaine.com" {
           type slave;
           file "db.mondomaine.com ";
           masters {192.168.0.4; };
    };

    zone "0.168.192.in-addr.arpa" {
           type slave;
           file "db.mondomaine.com.inv";
           masters {192.168.0.4; };
    };

    Le nom des zones doit correspondre exactement aux zones définies sur le serveur principal.

    L’adresse IP du serveur principal est indiqué à la ligne « masters »

    Sur le serveur esclave, il faut l’autoriser à s’envoyer des notifications pour éviter d’avoir des messages d’erreurs dans les logs. Pour cela, il faut ajouter cette ligne dans le fichier « /etc/bind/named.conf.options » :

    allow-notify { 192.168.0.1; };

    Remarque  : Il faut remplacer l’adresse IP par celle de votre serveur esclave.

    Test du serveur esclave

    La mise à jour des données du serveur esclave, se fera au moment du redémarrage du serveur maître si le champ «  Serial  » de la zone concernée est supérieur sur le maître par rapport à l’esclave. Pour vérifier que tout fonctionne correctement, il faut regarder les logs au niveau du serveur esclave et au niveau du serveur maître.

    Lors du démarrage du serveur, les fichiers contenant la résolution des noms, seront importés dans « /var/cache/bind »

    Remarque : Il est possible de supprimer les fichiers enregistrés dans « /var/cache/bind » car ils seront recréés au prochain démarrage du serveur maître.

    Tester la résolution des noms

    Il existe plusieurs outils pour tester le bon fonctionnement de la résolution des noms :

    ping

    La commande «  ping  » est la plus simple (mais la plus limité). Elle permet de tester la résolution du nom, mais pas la résolution inverse :

    $ ping NomDuServeur

    host

    La commande «  host  », permet de tester la résolution du nom et la résolution inverse :

    $ host NomDuServeur

    ou :

    $ host AdresseIPduServeur

    nslookup

    La commande «  nslookup  » du paquet «  dnsutils  », permet également de tester la résolution du nom et la résolution inverse :

    $ nslookup NomDuServeur

    ou :

    $ nslookup AdresseIPduServeur

    dig

    La commande « dig » du paquet «  dnsutils  », permet également de tester la résolution du nom et la résolution inverse. Mais la commande «  dig  » permet surtout d’interroger directement le serveur bind et obtenir de nombreuses autres informations :

    $ dig NomDuServeur.NomDuDomaine

    Remarque : Le nom du domaine est obligatoire pour obtenir une réponse (ANSWER SECTION)

    ou :

    $ dig -x AdresseIPduServeur

    Remarque : Le paramètre « -x » est obligatoire pour obtenir une réponse (ANSWER SECTION)

    Remarques sur les fichiers de configuration

    Dans ce document, nous avons ajouté dans « /etc/bind/named.conf.options » la ligne suivante pour autoriser Bind à transférer les données vers le serveur secondaire :

    allow-transfer { 192.168.0.1; };

    Nous aurions pu écrire cette ligne sous cette forme :

    allow-transfer {
       192.168.0.1;   # Il est même possible d'ajouter un commentaire
    };

    Nous pouvons également autoriser plusieurs serveurs comme cela :

    allow-transfer {
       192.168.0.1;   # Serveur N°1
       192.168.0.2;   # Serveur N°2
    };

    Nous pouvons aussi utiliser cette syntaxe :

    allow-transfer {
       192.168.0/24;   # Autorise tous les postes du réseau locale  
    };

    Pour autoriser tout le monde, nous pouvons utiliser cette syntaxe :

    allow-transfer { any; };

    Ou celle-ci :

    allow-transfer { 0/0; };

    Pour finir, il est possible de créer une ACL à la fin ou au début du fichier qui ressemble à cela :

    acl MesServeurs {
      192.168.0.1;   # Serveur N°1
      192.168.0.2;   # Serveur N°2
    };

    Et d’utiliser cette ACL comme ceci :

    allow-transfer { MesServeurs; };

    Historique des modifications

    Version Date Commentaire
    0.1 29/11/04 Création par Tony GALMICHE
    0.2 03/12/04 Mise à jour
    0.3 06/01/05 Mise à jour suite à installation serveur Pentium Pro 200
    0.31 14/01/05 Suppression du Sommaire
    0.4 09/02/05 Mise à jour du chapitre « Principe de fonctionnement de la recherche de noms »
    0.5 25/07/06 Ajout chapitre « Tester la résolution des noms »
    0.6 19/06/07 Mise à jour du chapitre « Installer un serveur secondaire esclave » et ajout chapitre « Remarques sur les fichiers de configuration »
  • Commentaires

    serveur dns secondaire

    bonjour,

    je souhaiterais mettre en place une passerelle entre mon serveur dns et celui d'un autre réseau afin que, si jamais il n'y a aucune correspondance entre un nom et une adresse IP sur mon serveur dns, je puisse aller chercher sur l'autre.j'ai essayé de mettre en place une liaison maître-esclave entre ces 2 serveurs mais celle-ci ne fonctionne que si le premier serveur a cessé de fonctionner alors que je veux pouvoir en bénéficier en permanence.

     

    Si vous avez des idées ou le même problème,merci de répondre

    cordialement

    Merci

    Ton petit tuto est simple et concis. D'une efficacité redoutable. J'ai pu mettre en place un petit serveur de nom dans mon réseau local en l'espace de 10 minutes (montre en main)

    Merci encore.

     

    J'en profite pour signaler ce que j'ai pris pour coquille :

    dans la section "Fichier de configuration secondaire" -> tu as tapé excalve au lieu de esclave, dans le "Refresh" de ta zone.

     

    Bonne continuation, et je te rassure, ton petit pense bete est utilisé par beaucoup beaucoup beaucoup de monde !

    A une prochaine.

    Bind qui sort de suite

    Hello,

    Tout d'abord merci pour cet article. Claire et facile à comprendre et à lire

    J'ai donc mis en place cela. J'avais un Debian qui me sert de FW et mon serveur interne.
    Un ping www.google.fr depuis l'interne ne passe pas car la résolution DNS n'est pas opérationnelle.
    Par contre juste après le aptitude install bind9 la résolution fonctionne.

    Pourtant j'ai pas crée de zone ou de forwarders.

    Mes fichiers du serveur ne font référence à aucun DNS externe.

    Du coup je ne comprends pas comment Bind fait pour sortir en direct. Grrrrrrrrrr

    Auriez-vous une idée ?

    D'avance merci

    Problem de ping

    bonjour ,

    j'ai instalé debian sur une machine virtuelBox , j'ai suivi le tuto jusqua la fin je relance bind9 j'ai pas d'erreur ,  mais quand je ping par exemple "pglinux"  j'ai un message d'erreur "unknow  host pglinux" mais j'arrive a ping google donc je vois pas d'ou sa peut venir le probleme

     

    merci d'avance..

    Problem de ping

    bonjour ,

    j'ai instalé debian sur une machine virtuelBox , j'ai suivi le tuto jusqua la fin je relance bind9 j'ai pas d'erreur ,  mais quand je ping par exemple "pglinux"  j'ai un message d'erreur "unknow  host pglinux" mais j'arrive a ping google donc je vois pas d'ou sa peut venir le probleme

     

    merci d'avance..

    Excellent.. merci

    Que de choses qui s’éclairent pour moi sur la compréhension du DNS.

    Je me suis lancé dedans, et après avoir corrigé quelques erreurs que j’avais faites en recopiant, cela fonctionne comme un charme.

    Excellent d’avoir son nom de domaine interne.

    Merci et merci.

    Ps : faire attention quand on fait un copier coller pour le fichier db.mondomaine.inv du site vers l’ordi.

    La ligne :

    @ IN SOA pgdebian.mondomaine.com.

    root.mondomaine.com. (

    se met sur 2 lignes et crée un problème au démarrage de bind :

    "dns_rdata_fromtext : /etc/bind/db.mondomaine.inv:2 : near eol : unexpected end of input"

    La remettre sur une ligne et le problème sera parti.

    problem de ping

    bonjour ,

    j'ai instalé debian sur une machine virtuelBox , j'ai suivi le tuto jusqua la fin je relance bind9 j'ai pas d'erreur ,  mais quand je ping par exemple "pglinux"  j'ai un message d'erreur "unknow  host pglinux" mais j'arrive a ping google donc je vois pas d'ou sa peut venir le probleme

     

    merci d'avance..

    Installation d’un serveur DNS Bind 9 sur Debian

    Bonjour,

    merci pour ce tuto !

    J’ai suivi à la lettre ce dernier mais les commands hosts ne fonctionne pas malgré le syslog correct :

    Pour l’IP :

    Host 99.2.168.192.in-addr.arpa not found : 3(NXDOMAIN)

    Pour le nom :

    Host esteban not found : 3(NXDOMAIN)

    Que dois-je faire ?

    Merci

    Merci !

    De rien, ce fut un plaisir :-)

    Merci !

    Aaaaaaaaahhhh MERCI MERCI MERCI MERCI MERCI MERCI !!!
    J’ai galéré avec l’outil webmin qui m’a mit un merd*er absolu dans ma config serveur DNS, j’ai tout remis à 0, il m’en avait mis partout et en suivant votre topic ça fonctionne à merveille !!!

    Un grand merci à vous pour votre excellent site et ce que vous faîtes pour la communauté qui débute ! :-)
    Que le maître pingouin vous bénisse