[afnog] Configuration de DNS
Stephane Bortzmeyer
bortzmeyer at nic.fr
Sat Dec 1 14:35:53 UTC 2012
On Sat, Dec 01, 2012 at 01:45:29PM +0000,
Oscar Savadogo <oscar.savadogo at gmail.com> wrote
a message of 51 lines which said:
> en fait mon site c www.laposte.bf
Le domaine laposte.bf a deux problèmes : il n'y a qu'un seul serveur
de noms (le RFC 1034 en impose deux, et pour de bonnes raisons de
résilience) :
% dig @nahouri.onatel.bf NS laposte.bf
; <<>> DiG 9.7.3 <<>> @nahouri.onatel.bf NS laposte.bf
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42159
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;laposte.bf. IN NS
;; AUTHORITY SECTION:
laposte.bf. 172800 IN NS ns.laposte.bf.
;; Query time: 181 msec
;; SERVER: 206.82.130.196#53(206.82.130.196)
;; WHEN: Sat Dec 1 15:29:53 2012
;; MSG SIZE rcvd: 56
Mais, plus grave, alors que l'unique serveur est dans la zone qu'il
sert, les serveurs de noms de la zone parente (bf) ne transmettent
*pas* l'enregistrement de colle (il derait apparaître dans la section
additionnelle ci-dessus). Mëme lorsqu'on demande explicitement, il n'y
a rien :
% dig @nahouri.onatel.bf A ns.laposte.bf
; <<>> DiG 9.7.3 <<>> @nahouri.onatel.bf A ns.laposte.bf
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19915
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;ns.laposte.bf. IN A
;; AUTHORITY SECTION:
laposte.bf. 172800 IN NS ns.laposte.bf.
;; Query time: 185 msec
;; SERVER: 206.82.130.196#53(206.82.130.196)
;; WHEN: Sat Dec 1 15:31:00 2012
;; MSG SIZE rcvd: 56
Dans ces conditions, la résolution ne peut *pas* marcher. Le résolveur
interroge les serveurs de bf qui renvoient à ns.laposte.bf dont
l'adresse est inconnue.
Il faudrait donc à court terme transmettre l'adresse IP de ns.laposte.bf au
registre de bf et leur demander d'annoncer la colle. À moyen terme,
ajouter un second serveur de noms, de préférence loin du premier (pour
des raisons de résilience). À long terme, que le registre de bf fasse
des tests techniques avant de déléguer (un domaine avec un seul
serveur, dans la zone qu'il sert, mais sans colle, ne peut *pas*
marcher).
J'attire aussi votre attention sur le fait qu'il existe une liste
francophone des administrateurs de serveurs DNS
<https://groupes.renater.fr/sympa/info/dns-fr>.
Sur la résilience et notamment celle des serveurs DNS, je vous signale le
rapport ODRIF d'observatoire de la résilience de l'Internet en France,
qui donne des pistes intéressantes
<http://www.ssi.gouv.fr/fr/menu/actualites/l-anssi-et-l-afnic-publie-un-etat-des-lieux-de-l-internet-francais.html>.
More information about the afnog
mailing list