Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 15/06/2015, à 22:27

Sylvhem

[Résolu] Configuration d’un serveur secondaire depuis NSD

Bonjour à tous.

Ayant appris que Gandi, chez qui j’ai acheté mon nom de domaine, proposait un service de DNS secondaire, j’ai entrepris de changer mes serveurs de nom pour utiliser un serveur de nom perso, sous NSD 3, et leur DNS secondaire à la place.
Pour ça j’ai remplacé, dans l’interface Gandi, les deux anciens serveurs de nom par ns1.lepubdelobservateur.fr (mon serveur de nom) et ns6.gandi.net (le serveur de nom fournit par Gandi) et modifié mon fichier de zone de façon à avoir :

$TTL 1h
$ORIGIN lepubdelobservateur.fr.
@ IN SOA ns1.lepubdelobservateur.fr. hostmaster.lepubdelobservateur.fr. (
 2015061200
 1d
 1h
 2w
 3h
 )

@   IN NS   ns1
@   IN NS   ns6.gandi.net.
ns1 IN A    91.224.149.20
ns1 IN AAAA 2a01:6600:8081:1400::1

J’ai ensuite ajouté les lignes suivantes dans le fichier de configuration de NSD :

zone:
 name: lepubdelobservateur.fr.
 zonefile: lepubdelobservateur.fr.zone
 notify: 217.70.177.40 NOKEY
 provide-xfr: 217.70.177.40 NOKEY

J’ai pensé que ça serait suffisant mais, hélas, si la zone est bien distribuée par ns1.lepubdelobservateur.fr, ce n’est pas le cas avec ns6.gandi.net qui me renvoi la réponse suivante :

$ dig lepubdelobservateur.fr A @ns6.gandi.net

; <<>> DiG 9.9.5-9-Ubuntu <<>> lepubdelobservateur.fr A @ns6.gandi.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 60296
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;lepubdelobservateur.fr.		IN	A

;; Query time: 155 msec
;; SERVER: 217.70.177.40#53(217.70.177.40)
;; WHEN: Mon Jun 15 22:04:28 CEST 2015
;; MSG SIZE  rcvd: 51

Les résultats du test Zonemaster no sont pas beaucoup plus réjouissants.
Après avoir réfléchi un moment au problème, j’ai finalement envoyé un message au support de Gandi. Voici leur réponse :

Alexandre, technicien Gandi a écrit :

Après vérification, tout semble configuré correctement sur votre serveur. J'ai validé de nouveau les serveurs DNS sur votre interface. Pour avoir plus d'information sur la raison du problème, vous pouvez également vérifier dans les logs de votre serveur DNS, lors des requêtes AXFR.

Les journaux systèmes ne m’apprenant pas grand chose, je poste ici en désespoir de cause. Quelqu’un ici pourrait me donner une piste sur ce que j’ai mal configuré ?

Petite précision : la machine que j’utilise est partagée avec des amis qui s’en servent eux aussi pour annoncer leurs domaines. Quand j’ai pris connaissance de l’existence de ns6.gandi.net nous avons procédé aux mêmes modifications pour leurs noms de domaine. Le problème est le même.

Dernière modification par Sylvhem (Le 17/06/2015, à 16:39)

Membre discret de la brigade des S

Hors ligne

#2 Le 16/06/2015, à 14:54

bruno

Re : [Résolu] Configuration d’un serveur secondaire depuis NSD

Bonjour,

Je ne connais pas NSD mais il doit bien y avoir quelque part dans la configuration les options pour déclarer un serveur maître qui peut envoyer des notifications (notify) au serveur secondaire.

cf la doc: http://www.nlnetlabs.nl/projects/nsd/nsd.conf.5.html

Dernière modification par bruno (Le 16/06/2015, à 14:54)

Hors ligne

#3 Le 16/06/2015, à 16:31

Sylvhem

Re : [Résolu] Configuration d’un serveur secondaire depuis NSD

Merci pour ta réponse bruno.

J’ai bien entendu regardé la documentation. Si je comprend bien le manuel, il faut utiliser les options provide-xfr pour autoriser les transferts de zone et notify pour notifier les serveurs secondaires. Si tu regardes l’extrait de configuration que j’ai donné plus haut, c’est ce que j’ai fait.
Par ailleurs, je suis conforté dans ma façon de faire par cet article de Stéphane Bortzmeyer et par ce tutoriel, qui semblent conseiller la même chose.

Membre discret de la brigade des S

Hors ligne

#4 Le 16/06/2015, à 17:13

bruno

Re : [Résolu] Configuration d’un serveur secondaire depuis NSD

Effectivement je n’avais pas vu que cela correspondait au NS de gandi. Que dit la doc de gandi à ce sujet ? Peux-tu faire les transferts de zone ainsi et sans clé (ou faut-il indiquer la clé de gandi) ? D'après leur réponse tout semble correct…
Par ailleurs il peut y avoir un délai plus ou moins important  avant que la zone ne soit transférée vers le serveur secondaire.

Je suppose que tu n'as pas non plus de problème de pare-feu qui bloquerait le transfert…
Il faut absolument éplucher les logs au moment où tu actives ta configuration pour trouver ce qui bloque le transfert.

Dernière modification par bruno (Le 16/06/2015, à 17:19)

Hors ligne

#5 Le 17/06/2015, à 00:12

Sylvhem

Re : [Résolu] Configuration d’un serveur secondaire depuis NSD

bruno a écrit :

Effectivement je n’avais pas vu que cela correspondait au NS de gandi. Que dit la doc de gandi à ce sujet ? Peux-tu faire les transferts de zone ainsi et sans clé (ou faut-il indiquer la clé de gandi) ?

La doc ne donne pas d’exemple de configuration pour NSD, par contre, il est clairement indiqué dans Mettre en place un serveur DNS classique ou utilisant DNSSEC que le transfert doit être fait sans clef.

bruno a écrit :

D'après leur réponse tout semble correct…

Oui… Comme ils n’ont accès qu’à ce qui se trouve sur leur interface et aux données publiques du DNS, je suppose que l’erreur doit se trouver sur la configuration de ma machine hmm.

bruno a écrit :

Par ailleurs il peut y avoir un délai plus ou moins important  avant que la zone ne soit transférée vers le serveur secondaire.

Oui mais pas plusieurs jours quand même ^^.

bruno a écrit :

Je suppose que tu n'as pas non plus de problème de pare-feu qui bloquerait le transfert…

Hélas non, j’ai déjà vérifié.

bruno a écrit :

Il faut absolument éplucher les logs au moment où tu actives ta configuration pour trouver ce qui bloque le transfert.

Je n’ai pas vraiment réussi à tirer quoi que ce soit des journaux… Au cas où, je copie ici les dernières entrées de daemon.log.

# cat /var/log/daemon.log

Jun 15 17:28:59 ma-machine nsd[18274]: signal received, reloading...
Jun 15 17:28:59 ma-machine nsd[25005]: memory recyclebin holds 0 bytes
Jun 15 17:28:59 ma-machine nsd[18275]: NSTATS 1434389339 1434068799 A=321 NS=22 CNAME=4 SOA=199 MX=70 TXT=28 AAAA=68 SPF=3 TYPE252=188 TYPE255=41
Jun 15 17:28:59 ma-machine nsd[18275]: XSTATS 1434389339 1434068799 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=756 SFwdQ=0 SDupQ=0 SErr=0 RQ=944 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=192 SFwdR=0 SFail=46 SFErr=14 SNaAns=0 SNXD=49 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
Jun 15 18:14:04 ma-machine nsd[25005]: signal received, reloading...
Jun 15 18:14:04 ma-machine nsd[25183]: memory recyclebin holds 0 bytes
Jun 15 18:14:04 ma-machine nsd[25006]: NSTATS 1434392044 1434389339 A=6 NS=4 SOA=12 MX=1 AAAA=5 DNSKEY=1 NSEC3PARAM=1 TYPE252=4
Jun 15 18:14:04 ma-machine nsd[25006]: XSTATS 1434392044 1434389339 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=28 SFwdQ=0 SDupQ=0 SErr=0 RQ=34 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=6 SFwdR=0 SFail=4 SFErr=0 SNaAns=0 SNXD=2 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
Jun 15 18:38:18 ma-machine nsd[25183]: signal received, reloading...
Jun 15 18:38:18 ma-machine nsd[25283]: memory recyclebin holds 0 bytes
Jun 15 18:38:18 ma-machine nsd[25184]: NSTATS 1434393498 1434392044 A=1 SOA=2 TYPE252=2
Jun 15 18:38:18 ma-machine nsd[25184]: XSTATS 1434393498 1434392044 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=3 SFwdQ=0 SDupQ=0 SErr=0 RQ=5 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=2 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
Jun 15 18:42:57 ma-machine nsd[25283]: signal received, reloading...
Jun 15 18:42:57 ma-machine nsd[25368]: memory recyclebin holds 0 bytes
Jun 15 18:42:57 ma-machine nsd[25284]: NSTATS 1434393777 1434393498 A=2 AAAA=2 TYPE252=1
Jun 15 18:42:57 ma-machine nsd[25284]: XSTATS 1434393777 1434393498 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=4 SFwdQ=0 SDupQ=0 SErr=0 RQ=5 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=1 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
Jun 15 19:00:35 ma-machine nsd[25368]: signal received, reloading...
Jun 15 19:00:35 ma-machine nsd[25442]: memory recyclebin holds 0 bytes
Jun 15 19:00:35 ma-machine nsd[25369]: NSTATS 1434394835 1434393777 A=5 SOA=2 AAAA=2 TYPE252=5
Jun 15 19:00:35 ma-machine nsd[25369]: XSTATS 1434394835 1434393777 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=9 SFwdQ=0 SDupQ=0 SErr=0 RQ=14 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=5 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
Jun 15 19:21:35 ma-machine nsd[25442]: signal received, reloading...
Jun 15 19:21:35 ma-machine nsd[25573]: memory recyclebin holds 0 bytes
Jun 15 19:21:35 ma-machine nsd[25443]: NSTATS 1434396095 1434394835 A=9 NS=3 SOA=2 AAAA=4 TYPE252=10
Jun 15 19:21:35 ma-machine nsd[25443]: XSTATS 1434396095 1434394835 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=18 SFwdQ=0 SDupQ=0 SErr=0 RQ=28 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=10 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0
Jun 15 19:26:36 ma-machine nsd[25573]: signal received, reloading...
Jun 15 19:26:36 ma-machine nsd[25650]: memory recyclebin holds 0 bytes
Jun 15 19:26:36 ma-machine nsd[25574]: NSTATS 1434396396 1434396095 SOA=2 TYPE252=2
Jun 15 19:26:36 ma-machine nsd[25574]: XSTATS 1434396396 1434396095 RR=0 RNXD=0 RFwdR=0 RDupR=0 RFail=0 RFErr=0 RErr=0 RAXFR=0 RLame=0 ROpts=0 SSysQ=0 SAns=2 SFwdQ=0 SDupQ=0 SErr=0 RQ=4 RIQ=0 RFwdQ=0 RDupQ=0 RTCP=2 SFwdR=0 SFail=0 SFErr=0 SNaAns=0 SNXD=0 RUQ=0 RURQ=0 RUXFR=0 RUUpd=0

Chaque bloc (commençant par signal received, reloading...) correspond à un moment où j’ai tapé nsdc reload afin de recharger la configuration. La commande nsdc notify, quant à elle, n’affiche rien dans les journaux apparemment…

Membre discret de la brigade des S

Hors ligne

#6 Le 17/06/2015, à 07:31

bruno

Re : [Résolu] Configuration d’un serveur secondaire depuis NSD

Re,
C'est curieux que ce soit dans daemon.log, en principe ce fichier n'est pas utilisé sur Ubuntu… et les logs sont syslog.
Il serait peut-être intéressant de séparer les log avec une ligne logfile dans le fichier de configuration et de les rendre plus bavards. Là on ne voit que les stats et le RAXFR=0 ne nous avance guère .D'après la page de man :

logfile: "/var/log/nsd.log"
verbosity: 2

Hors ligne

#7 Le 17/06/2015, à 16:38

Sylvhem

Re : [Résolu] Configuration d’un serveur secondaire depuis NSD

Problème résolu !

J’ai trouvé mon erreur et elle était vraiment stupide. Je pensais que la commande nsdc reload rechargeait l’ensemble de la configuration. Il s’avère qu’elle ne recharge que les zones. Pour prendre en compte les modifications apportées à nsd.conf il est nécessaire de redémarrer entièrement le serveur avec nsdc restart. Je m’en suis aperçu en essayant de changer le fichier utilisé pour la journalisation…

bruno a écrit :

C'est curieux que ce soit dans daemon.log, en principe ce fichier n'est pas utilisé sur Ubuntu… et les logs sont syslog.

J’ai oublié de préciser que ce serveur tourne sous Debian (je me suis permis de poster ici car le fonctionnement de NSD à l’air identique dans les deux distributions). C’est peut-être pour ça ? Les mêmes infos étaient enregistrées dans syslog de toute façon.

En tout cas, un énorme merci à toi bruno !

Membre discret de la brigade des S

Hors ligne

#8 Le 17/06/2015, à 17:07

bruno

Re : [Résolu] Configuration d’un serveur secondaire depuis NSD

De rien, et ravi que tu aies réussi à résoudre ton problème.

Hors ligne

Pages : 1