Nous avons notre propre serveur de DNS.

Le DNS primaire, pour les domaines hadoly.fr et hadoly.org, est géré par BIND sur la machine Demetra. Les DNS secondaire sont chez Gandi et Tetaneutral (via grenode).

Les NS de hadoly.fr/hadoly.org sont :

• ns1.hadoly.fr (serveur maître/primaire, zones directes et inverses, hébergé sur Demetra)
• ns2.hadoly.fr (esclave/secondaire, zones directes et inverses, hébergé sur la machine Grenode gaffe chez Tetaneutral)
• ns6.gandi.net (esclave/secondaire, sert uniquement les zones directes (hadoly.fr et hadoly.org)

Les zones hadoly.fr et hadoly.org sont strictement identiques: c'est le même fichier de zone qui est utilisé (/etc/bind/zones-dir/hadoly.fr_org) pour les deux zones.

Pour les zones inverses, il faut renseigner la base du RIPE avec les bon objets, et indiquer les NS à utiliser pour résoudre les IP. On peut vérifier l'état actuel avec whois (ex: whois 185.67.80.in-addr.arpa )

Reste à étudier la partie DNSSEC.

• Se connecter sur le master (demetra) et éditer les fichiers de zone situés dans /etc/bind/zones-dir/ (pour les zones directes) ou/et /etc/bind/zones-rev/ (pour les zones inverses).
• Penser impérativement à changer le serial, en respectant le format YYYYmmddnn (Année-mois-jour-n, incrémenter n si plusieurs changements dans la même journée)
• Vérifier que le fichier de zone est toujours syntaxiquement correct avec la commande named-checkzone. Exemple: sudo named-checkzone hadoly.fr /etc/bind/zones-dir/hadoly.fr_org
• Recharger les zones, par exemple en utilisant rndc: sudo rndc -s ::1 reload (un sudo systemctl reload bind9.service fonctionne aussi)
• Vérifier les logs sudo journalctl -xf -u bind9

Le transfert de zone vers ns2 est immédiat. En revanche, pour ns6.gandi, il faut être patient. (semble ne pas tenir compte des notifies envoyés)

• Présentation DNSSEC
• Tuto signature automatique DNSSEC avec BIND
• Signer avec NSEC3 dans BIND