Journal DNS et zone par défaut

Posté par  .
Étiquettes :
0
16
déc.
2003
Chers lecteurs (ben oui, je ne vais pas parler à un journal, fut-il électronique ou numérique),

Pour une raison obscure, certaines stations de mon réseau sont configurées sans nom de domaine, sans liste de recherche DNS et sans que j'y puisse quoi que ce soit.
Déjà elles accèdent bien à mon serveur DNS, faut pas leur en demander plus.

Rien de dramatique à priori.
Là où ça se corse, c'est que ces stations ont besoin d'accéder aux serveurs enregistrés dans la zone "maboite.com" en utilisant une adresse de la forme "serveur1" plutôt que "serveur1.maboite.com" (ça serait trop facile).

Il me faudrait donc définir "maboite.com" comme "zone par défaut", pour y rediriger toutes les requêtes pour des adresses sans ".", et qu'une requête pour "serveur1" renvoie les infos de "serveur1.maboite.com" (un peu dans le genre de ce que les amis de Verisign ont mis en place sur le TLD ".com", "toto" -> "toto.com").

Le serveur DNS que j'utilise actuellement et que je ne citerai pas (basé sur une vieille version de BIND) n'offre pas cette fonctionnalité.

Sauriez-vous, chers lecteurs, si BIND 8.3 (fourni avec ma Debian que j'ai) ou autre version, ou encore djbdns, voir même carrément autre chose, permet de faire ça?
Quelques trucs pour la mise en route? Quelques écueils à éviter?

Et euh... D'avance merci.

  • # Re: DNS et zone par défaut

    Posté par  . Évalué à 2.

    suffit de mettre dans /etc/resolv.conf :

    search maboite.com

    • [^] # Re: DNS et zone par défaut

      Posté par  . Évalué à 1.

      Je ne sais pas si il peut faire ca, apparament les machines ne peuvent pas trop etre touchee au niveau config.

      Sinon a moins que tu ais une tres vieille version de Bind tu dois pouvoir creer un proxy de resolution, pousser ton serveur a se refaire une requete a lui meme quand il ne trouve pas et le configurer pour que lui ait un ordre de recherche des domaines.

      Sinon il y a mille facons de faire ca avec BIND 8.3, par reroutage interne, par preresolution (bettement en ajoutant serveur IP.IP.IP.IP dans la liste) par la methode de proxy vu ci dessus. Mais j'eviterais de faire une apposition forcee du domaine, des fois ca fait des trucs bizarres....


      Kha

      • [^] # Re: DNS et zone par défaut

        Posté par  . Évalué à 1.

        creer un proxy de resolution

        Ah oui, tiens, j'y avais pas pensé. Mon bind est peu rouillé et j'ai jamais eu besoin d'utiliser des trucs de sioux pour faire marcher mes DNS. Quand j'y repense, la bidouille que je donne en dessous est un peu pourrie...

      • [^] # Re: DNS et zone par défaut

        Posté par  . Évalué à 1.

        Non pas de modif possible côté client. :-(
        (connectés via un bout de VPN fourni par Transpac sur lequel je n'ai aucun contrôle)

        Le coup de la requête à lui-même ça me paraît bizarre, BIND ne va pas utiliser le resolver du serveur lui-même de toute façon?...

        Sinon c'est possible de mettre des enregistrements CNAME dans la zone racine sans pour autant bloquer la résolution de tous les TLD et ce qui va derrière?

        Cela dit et à la réflexion, je ne suis pas sûr que de présenter mes serveurs dans la zone root résolve vraiment le pb non plus.

        Argh, il faudrait vraiment que mes clients arrivent à récupérer une config correcte. :-(

        • [^] # Re: DNS et zone par défaut

          Posté par  . Évalué à 1.

          Le coup de la requete a lui meme c'est tres simple en fait, comme tu dois le savoir il existe deux facon de faire des requetes DNS, soit en redirect, soit en relay (c'est pa sle noms officiels mais je les ai plus en tete). Dans un cas si ton serveur DNS ne sait pas resoudre la requete il redirige le requeteur vers un autre serveur. Dans l'autre cas il effecture la requete lui meme aupres de l'autre serveur et retransmet la reponse.

          Pour des raisons d'economie de bande passante presque tous les serveurs DNS publics sont configures en redirect. Par contre pour la securite les serveurs internes au boites sont souvent configures en relay.

          Le truc ici est de cree deux interfaces sur ton serveur DNS et de dire a Bind de faire du relaying de la premiere interface vers la seconde pour toutes les requetes non resolues venant des requeteurs "les ips des machines qui ne sont pas bien configures".

          Ca marche tres tres bien. Je fais ca tout le temps.

          Kha

  • # Re: DNS et zone par défaut

    Posté par  . Évalué à 2.


    > (un peu dans le genre de ce que les amis de Verisign ont mis en place sur le TLD ".com", "toto" -> "toto.com").

    Si je comprends bien, c'est plus ou moins "l'inverse", ici ; en gros "serveur1.*" -> "serveur1.maboite.com". Enfin en très gros...

    Bref.
    En tout cas, il me semble que ce genre de "transformation" n'est pas défini par le protocole. Ce sont les stations qui sont à blâmer ici : pourquoi est-ce qu'elles ne sont pas capables de récupérer le domaine par défaut ? (ligne search dans le resolv.conf sur la plupart -si ce n'est tous- les unix)

    Sinon, une solution (bancale mais qui doit marcher), c'est de créer la zone "serveur1" au niveau du serveur de noms (n'importe lequel fait l'affaire).

    De mémoire, avec Bind 8.3

    zone "serveur1" {
    type master;
    file "db.serveur1";
    }


    Et le fichier "db.serveur1" aura cette tête-là :

    $TTL 86400
    $ORIGIN serveur1.
    @ 1D IN SOA @ root (
    12 ; serial
    3H ; refresh
    15M ; retry
    1W ; expiry
    1D ) ; minimum

    1D IN NS @
    1D IN CNAME serveur1.maboite.com.


    Je ne suis pas tout à fait certain que ça marche bien, notamment le CNAME ; il faut peut-être plutôt utiliser un enregistrement de type A vers l'adresse IP de <serveur1.maboite.com>, mais c'est mieux si le CNAME fonctionne le jour où l'adresse IP de ce serveur change.
    C'est une idée à vérifier, si vraiment il n'y a pas moyen de faire autrement.

    Il va y avoir des problèmes le jour où un des serveurs va s'appeler "com", "net" ou "org" ;-)

    • [^] # Re: DNS et zone par défaut

      Posté par  . Évalué à 1.

      En fait c'est exactement ce que j'ai fait, sauf que sur les clients (PC sous Win*):
      * "nslookup serveur1" fonctionne
      * "ping serveur1" échoue
      * "ping serveur1." fonctionne (!)
      * "ping serveur1" fonctionne finalement APRÈS un "ping serveur1." !!!

      Du pur délire.

      En fait je ne sais pas vraiment comment la résolution sans nom de domaine (ni sur le client ni dans la requête) est censée fonctionner, ni même si elle est censée fonctionner du tout.
      Visiblement ça tape dans la zone root, mais peut-être pas tout à fait comme il faudrait...

      • [^] # Re: DNS et zone par défaut

        Posté par  . Évalué à 1.

        sur les clients (PC sous Win*)
        ...
        Du pur délire.

        Tout à fait...
        Mmmh... Y a pas moyen d'avoir quelque part un serveur Wins (ça doit pouvoir se faire avec un Samba) ? Ça pourrait peut-être aider. Enfin, c'est pas sûr, notamment s'il y a des routeurs à traverser (si je ne m'abuse, Wins marche en parti grâce à des broadcast, et donc passer à travers un routeur, c'est pas gagné...)

        • [^] # Re: DNS et zone par défaut

          Posté par  . Évalué à 1.

          L'«intérêt» du WINS c'est justement d'éviter les broadcasts, de permettre à la résolution de noms Windows entre sous-réseaux, etc.
          Par contre là encore ça nécessiterait d'intervenir dans la config que les clients récupèrent à la connexion et à laquelle je n'ai pas accès. :-/

  • # Re: DNS et zone par défaut

    Posté par  . Évalué à 1.

    Bon ben c'est mort.

    Le truc consistant à créer une zone par serveur fonctionne bien.
    Mais la résolution de nom dans Windows (Win2k au moins) est buggée: la résolution d'un nom de machine sans point ne fait JAMAIS appel au DNS (sauf si un domaine ou une liste de recherche est définie sur la machine, auquel cas la résolution se fera dans ces domaines uniquement).

    En pratique il donc est impossible de résoudre un nom se trouvant dans la zone root.
    Un test simple pour vérifier ça: «ping tv» fonctionne sous Linux (oui ils ont mis un enregistrement A pour le TLD!), pas sous Windows.
    Dommage pour Verisign (gestionnaire du TLD tv): un «tv» résolvable dans IE c'eut été de l'or en barre (d'adresses).

    Mon problème reste entier et sans issue. :-(

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.