Configuration Serveurs DNS Client – Transfert de zone master/slave (NS)

Cette page a pour objet de vous aider dans le Transfert de Zone DNS entre un serveur Master client et les serveurs Slaves SafeBrands.

Préambule

Le transfert de zone DNS, également connu parfois sous le type de requête DNS AXFR, est un type de transaction DNS. C’est l’un des nombreux mécanismes permettant de répliquer les fichiers de zone DNS sur un ensemble de serveurs DNS.

Pour rappel, le transfert de zone DNS s’effectue obligatoirement entre un serveur maître (master), et un ou plusieurs serveurs secondaires/esclaves (slaves). Ce système de synchronisation entre serveurs utilise 2 principaux protocoles d’échange : le Transfert et la Notification.

Un transfert de zone utilise le protocole TCP (Transmission Control Protocol) pour le transport des données et prend la forme d’une transaction client-serveur. Le client demandant un transfert de zone est généralement un serveur esclave, ou secondaire, qui demandent des données à un serveur maître, parfois appelé serveur principal ou Master. La partie de la base de données répliquée est une zone DNS.

Le serveur de noms secondaire sert de sauvegarde pour le serveur de noms principal. Il peut également répondre aux demandes faisant autorité en tant que serveur de noms faisant autorité, ce qui permet d’équilibrer la charge de l’installation.

Chaque fois qu’il y a une mise à jour dans une zone DNS, le maître DNS envoie un message NOTIFY à tous les serveurs de noms secondaires.

Une comparaison entre les numéros de série de l’enregistrement Start Of Authority (SOA) sur le serveur de noms principal et secondaire est effectuée afin de déterminer si une mise à jour est nécessaire. En cas de changement sur la zone, les serveurs de noms secondaires effectuent alors un transfert AXFR ou IXFR afin de mettre à jour leurs enregistrements de zone. C’est cette action qui est appelée le transfert de zone.

La notification (NOTIFY) est l’information de changement envoyée par le Master aux Slaves afin de les informer d’un changement. A réception de cette notification, les serveurs secondaires demandent alors au Master les modifications qui ont été effectuées sur la zone.

Il existe 2 protocoles de transfert de données pour mettre à jour les zones sur les serveurs secondaires : AXFR et IXFR.
L’AXFR est un transfert de zone complet.
L’IXFR est un transfert partiel de zone. C’est ici qu’intervient le numéro de série d’une zone. Lors d’un IXFR le serveur slave envoie une requête pour connaître les différences de zone entre le numéro de série qu’il possède et le numéro de série du serveur Master pour cette même zone.

Attention : ce schéma explique le fonctionnement global depuis la création de la zone sur le Master 

Informations de configuration

Pour que ce système d’échange fonctionne correctement de manière autonome, il vous faut autoriser les « Transferts » AXFR et IXFR depuis les serveurs slaves, et les « NOTIFY » vers les serveurs slaves.

Voici un exemple de configuration pour un serveur Master utilisant Bind :

zone "test.fr" {
type master;
allow-transfer { X.X.X.X; Y.Y.Y.Y;};
also-notify { X.X.X.X; Y.Y.Y.Y;};
file "test.fr";
masters {A.A.A.A;};
};

NB : Il est indispensable de vérifier tous les systèmes de filtrage (pare-feu, antivirus, etc.) présent sur votre réseau/serveur pour autoriser les échanges.

Récapitulatif des différents cas de figure :

Master : SafeBrands & Slave(s) : SafeBrands = DNS Plus sur l’espace client SafeBrands (interface de gestion de zone)

Master : Vous & Slave(s) : SafeBrands [NS client] = Suivez les conseils de configuration donnés plus haut sur cette page

Master : Vous & Slave(s) : Vous [NS client] = Contactez-nous

Le changement de serveurs DNS au Whois est effectué par vos services. Une fois le domaine pré-installé sur nos serveurs et le fichier de zone configuré et vérifié par vos soins, vous pourrez alors modifier les serveurs DNS dans l’interface [4.2 Configurer vos serveurs DNS] de votre espace client.

NB : Lorsque les serveurs NS SafeBrands ne sont pas maîtres mais simplement esclaves, nous n’avons pas besoin de la zone DNS de votre domaine. En effet nos serveurs esclaves (a b et c) vont récupérer la zone dynamiquement depuis le serveur maître, sous la condition que la configuration soit OK coté serveur maître pour permettre ce transfert de zone.