• Serveurs

  • [Discussion] Mettre en place un serveur DNS avec Bind9 et DNSSEC

Ok, j'ai activé dnssec-validation auto, j'ai vérifié dans bind.keys, il y a bien un clé pour la racine.
J'ai mis à nouveau mon adresse locale ( 127 etc ) dans le push de server.conf.
J'ai restart openvpn & bind.

Et là cette fois, ça mouline dans le vent ( le navigateur, quand je fais une requête ) tout de suite après la modification.
Ce que je voulais dire en parlant du lendemain, c'est qu'a chaque modif cette semaine, je relançais openvpn et bind ( avec dans le server.conf aucune ligne push DNS externe, mais seulement le push dns local ), et ça fonctionnait, pendant 6 ou 7 heures. Puis j'allais dormir, et au réveil, plus de résolution dns.

edit :
- je n'ai pas fait la partie "Mise en place du serveur DNS secondaire de votre hébergeur" de ton tuto. Je suppose que ça n'a pas d'influence ?
- est-ce qu'iptables ne pourrait pas mettre le dawa dans tout ça ?

edit2 :
Toujours non fonctionnel.
4 jours plus tard
Salutations !

Juste pour infos, je suis actuellement en train de suivre le tuto suivant : http://mondedie.fr/d/5946 , et il semble qu'une petite modif' de la procédure est nécessaire, à savoir que la variable "dnssec-validation auto;" n'est plus interprétée correctement.

En effet, quand il nous est demandé au début du tuto de tester notre zone DNS via la commande : 
named-checkconf -z
DNS nous renvoie alors l'erreur suivante : 
/etc/bind/named.conf.options:6: boolean expected near 'auto'
J'ai donc fait mes petites recherches sur le net et il semble que seules 2 valeurs sont acceptées : YES / NO

AUTO ne fonctionne actuellement plus.

D'ailleurs si on regarde dans le dernier post de AlkaSeltzer, on peut voir que son fichier 'named.conf.options' a été corrigé en ce sens.

Me concernant, et parce que je vais utiliser le dnssec, j'ai mis l'option à YES.


Plus d'infos ici : http://www.zytrax.com/books/dns/ch7/security.html#dnssec-validation


Cordialement.
Tu es sûr de toi ?

Parce que la doc a toujours spécifié les valeurs yes / no depuis 2011 :

http://web.archive.org/web/20110421004503/http://www.zytrax.com/books/dns/ch7/security.html

J'ai pas de soucis avec la commande named-checkconf -z, ni sur debian (bind 9.8.4) ni sur archlinux (bind 9.10.2, c'est la dernière version). De plus je vois mal l'ISC rendre caduque une valeur d'une directive sans l'avoir dépréciée avant. Normalement on indique avant lorsque ça va devenir obsolète.

Merci pour le retour en tout cas, je vais me renseigner, vérifie ta conf peut-être, tu as quelle version de bind ?

EDIT :

Ok donc après quelques recherches :

Pour les versions >= 9.8 : La directive "dnssec-validation auto" est supportée, de plus il est nécessaire d'avoir les clés des serveurs racines (bind.keys)
Pour les versions <= 9.7 : il n'y a pas d'option "auto"

Source : le site de l'ISC https://www.isc.org/downloads/bind/bind-keys/
Salut Hardware,

oui en effet, j'ai omis de préciser que j'étais en Debian 6.0.10, et donc BIND dans la version qui convient (ici, la 9.7.3). Et forcément, pas de mode 'auto' compatible pour cette version, donc...

Penses-tu qu'une petite MàJ de la procédure est possible, afin de permettre de distinguer les 2 variables entre Debian 6.0.x et Debian 7 ?

J'ai une autre question toutefois :
Dans le tuto il est indiqué que l'on peut utiliser le DNS de Kimsufi "ns.kimsufi.com". Or si je tente un ping, aussi bien sur l'IP que le nom, je n'ai aucun retour (délai d'attente de la demande dépassé), même si je passe par des services de PING sur le Net ; ce qui me bloque dans la validation de DNSSEC puisque le ns.kimsufi.com refuse la validation... Ce serveur est-il réellement toujours fonctionnel ? Sinon, connais-tu d'autres DNS qui permettent DNSSEC gratuitement (gandi et mon serveur dédié, c'est OK) ? J'ai cherché mais je ne dois sans doute pas saisir les bons mots-clés.

D'avance un grand merci,

Cordialement.


EDIT :
Correction concernant le DNS de Kimsufi... j'avais "zappé" la partie Ownercheck... cependant, malgré le renseignement de ma zone DNS avec le ownercheck, quand je tente de valider le DNS Secondaire sur Kimsufi, il m'envoie bouler en me demandant de renseigner le fichier de config... je l'ai placé à différents endroits du fichier de config DNS de mon domaine, mais tjs sans succès (je souligne que le serial est modifié à chaque fois, et que BIND est relancé... j'ai même redémarré le serveur !)... je sèche et je tourne en rond... help please!

re EDIT :
bon c'est bon, ça fonctionne... j'ai pigé pkoi ça ne fonctionnait pas... grosse quiche que je suis : j'ai tout bonnement omis de resigner ma zone. Là c'est bon. Tout semble ok. J'attends demain pour tester si le DNSSec fonctionne correctement.
Allez zouh, je vais au dodo là... j'aime pas quand un truc me résiste, surtout par ma faute
Attention avec la version 9.7, même en mettant "dnssec-validation yes", DNSSEC ne fonctionnera pas. Il faut aussi inclure la clé des serveurs racines dans le fichier named.conf.options :
# /etc/bind/named.conf.options

[...]

managed-keys {
	# ROOT KEY: See https://data.iana.org/root-anchors/root-anchors.xml
	# for current trust anchor information.
        # NOTE: This key is activated by setting "dnssec-validation auto;"
        # in named.conf.
	. initial-key 257 3 8 "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
		FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
		bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
		X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
		W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
		Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
		QxA+Uk1ihz0=";
};
http://ftp.isc.org/isc/bind9/keys/9.7/bind.keys.v9_7
Salutations !

Merci pour l'info. Juste pour indiquer que mon DNSSec semble fonctionner (même si la clé root n'était pas encore dans le fichier named.conf.options), car en testant mon domaine via les 2 sites d'analyse fournis dans le tuto, tout est indiqué comme OK et 'secured'. Pour moi, tel que je le comprends, ça fonctionne normalement.

J'ai toutefois modifié mon named.conf.options en insérant à la fin la clé root puis relançant bind. Je n'ai toutefois pas constaté de changement depuis.

J'appellerai à l'aide en cas de besoin

Merci pour le soutien fourni sur ce site en tout cas. Très pratique et intéressant.

++

---------------------------------------------------------------------
EDIT 1 :
Bon finalement, j'ai besoin de tes lumières...
Sur Firefox, j'ai installé un petit AddOn qui permet de tester le DNSSec et TLSA. Quand je vais sur mon site ruTorrent, il m'indique bien que mon domaine utilise DNSSec (donc ça fonctionne), mais à côté il m'indique "non-existent TLSA record". Je ne vois pas à quoi ça peut correspondre. Le tuto n'en parle pas directement. Est-ce que ça nous concerne ou tant que DNSSec est marqué comme fonctionnel ça suffit ?
Juste pour préciser : sur le site http://dnssec-debugger.verisignlabs.com/, mon domaine est vert partout. Il est d'ailleurs précisé sur chacun des enregistrements que les RRSig sont bien validés par RRSet (donc TLSA, si j'ai bien compris)...
C'est complément différent, là tu parles du protocol TLSA qui permet de lier un domaine avec un certificat SSL grâce au DNS de manière sécurisé avec DNSSEC. Tu peux retrouver la spécification du "DNS-Based Authentication of Named Entities (DANE)" ici : http://tools.ietf.org/html/rfc6698

Il faut que tu rajoutes un enregistrement dans ta zone DNS, par exemple pour mon site (meshup.net), j'ai mis l'enregistrement suivant :
_443._tcp     IN     TLSA    3 0 1     8ab50bf7621262fa794ec7e583ac7913a75c41501c66f90448f6a3f80a8054d4
Protocole/port : TCP/443
TLSA : Type de l'enregistrement
3 : DANE-EE: Domain Issued Certificate
0 : Use full certificate
1 : SHA-256 hash
8ab50bf7621262f... : Fingerprint SHA-256 du certificat SSL
Tu peux obtenir l'empreinte de ton certificat avec :
openssl x509 -in TonCertificat.pem -noout -sha256 -fingerprint
Voir : https://www.huque.com/bin/gen_tlsa

Bienvenue dans le cercle très fermé des sites ayant mise en place DNSSEC/TLSA, ça doit représenter genre (0.001% des sites web lol) ^^
Cercle plutôt hermétique je dirais même... pas simple de suivre l'actualité sur la sécurité, surtout quand ce n'est pas le domaine de prédilection de base...

J'ai visité ton site justement, et effectivement, les 2 sécurités s'activent correctement (DNSSec et TLSA).
J'avais déjà aussi consulté les 2 sites que tu me donnes... mais l'anglais très technique et moi, ça fait 2. Je me débrouille dans la compréhension, mais c'est surtout piger la mécanique qui devient un vrai casse-tête. OVH et toi-même l'expliquez pourtant clairement via ton tuto. "Je comprends vite, mais faut m'expliquer longtemps" - hé hé hé

Donc, avant de me lancer dans de nouvelles modifications, je voulais juste que tu me confirmes que ce que je vais dire ci-dessous est bien ce que je dois faire :
1. extraire mon fingerprint
2. renseigner mon fichier db.domain.tld avec ce fingerprint, en n'omettant pas d'incrémenter le serial
3. resigner ma zone
4. relancer bind

Et là normalement, tout doit être bon !?
(faut vraiment que je me fasse un calepin numérique avec toutes ces infos, sinon je vais me retrouver à nouveau la tête sous l'eau.)

Autre chose, du fait que le DNSSec est mis en place sur mon site, est-il quand même possible d'installer un Certificat de Sécurité ? (Auquel cas, faudra que je refasse les manip' que je viens de citer ci-dessus !)

Bien à toi.

V.
Les étapes sont bonnes oui. Par contre qu'entends tu par "Certificat de Sécurité" ? Un certificat SSL délivré par une autorité de certification ?
Hardware wrote:Les étapes sont bonnes oui. Par contre qu'entends tu par "Certificat de Sécurité" ? Un certificat SSL délivré par une autorité de certification ?
Oui, tout à effet.

Je t'explique pourquoi je demande ça :
- les Certificats SSL délivrés par CACert sont renouvelables tous les 6 mois ;
- ton tuto précise que le renouvellement "recommandé" de la clé ZSK est à faire tous les 3 mois, et la KSK tous les ans ;
- moi, je me dis que je peux renouveler ainsi le SSL et la ZSK tous les 6 mois, et la KSK tous les ans ;

Le besoin en SSL n'est pas tant par sécurité, mais simplement parce que j'aime bien me dire que ma connexion est "certifiée" et sécurisée. Ainsi je n'ai plus de message m'indiquant que la connexion https n'est pas certifiée à cause de l'usage d'un certificat auto-généré.

Toutefois, si je mets en place ce certificat SSL, je devrais alors refaire les étapes de signature de zone. Mais une fois fait, je suis tranquille pendant 6 mois.

Possible que tu me dises que le SSL n'est plus utile, dans le sens ou DNSSec est censé le remplacer à cause d'attaques de plus en plus fréquentes. Mais moi ce que je veux, c'est simplement voir dans la barre d'adresse tous ces boutons verts qui me disent que le site est sécurisé et certifié. C'est juste ça. Je chipote mais bon...

Je rajoute aussi que j'ai l'intention de me servir de mon serveur Kimsufi pour les services suivants :
- mail Dovecot (avec le tuto de ce site) - utilisé aussi bien pour mes 2 domaines
- phpMyAdmin + MariaDB
- créer un domaine secondaire (Server Block) puis d'y installer Wordpress (site associatif)

Selon toi, est-ce réellement utile de posséder un certificat SSL en plus du DNSSec ?

Je te remercie pour les éclaircissements que tu pourrais m'apporter.

V.
Attention, DNSSEC n'a absolument pas vocation à remplacer SSL/TLS, ce sont deux protocoles différents et complémentaires.

- DNSSEC permet de sécuriser cryptographiquement les données envoyées par le DNS.
- SSL/TLS permet d'assurer la confidentialité et l'intégrité des données échangées sur le réseau en chiffrant la communication client / serveur. L'implémentation du protocole HTTPS utilise TLS uniquement pour chiffrer les données qui transitent.

Mais attention, accéder à un site via HTTPS avec le petit cadenas vert dans la barre d'adresse ne veut absolument pas dire que le site est sécurisé, loin de là... HTTPS est l'un des piliers, mais il y a en d'autres, DNSSEC en fait parti.

Un rappel sur ça, par le créateur d'OSSEC : http://dcid.me/notes/2014-oct-26 (c'est assez violent ce qu'il dit mais c'est vraiment la réalité).

Ensuite mettre HTTPS sur son site c'est bien, mais encore faut-il le faire correctement :

- La longueur de la clé privée doit être suffisante : 2048bits minimum
- Utiliser un protocole de chiffrement sans faille majeure connue à ce jour : TLSv1.0, 1.1, 1.2
- Utiliser une suite de ciphers qui assure un chiffrement de haut niveau, on oubli RC4, 3DES & co, c'est obsolète.
- Utiliser le principe Diffie-Hellman pour l'échange des clés.
- Utiliser la PFS (Perfect Forward Secrecy)
- Pleins d'autres choses...

Ma banque est bien loin du perfect malheuresement... :



Un perfect ça serait plutôt Github par exemple :



Tout est dans ce document si tu veux en savoir plus : https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices.pdf
et ici : https://wiki.mozilla.org/Security/Server_Side_TLS

Tu peux tester ton site avec cet outil : https://www.ssllabs.com/ssltest/
En bonus, un outil pour faire une conf nginx/apache sécure : https://mozilla.github.io/server-side-tls/ssl-config-generator/

C'est un domaine complexe sur lequel il y a énormement de choses à dire, je vais pas m'étendre parce que c'est pas le sujet du tuto. Mais c'est bien de s'intéresser à ça comme tu le fait.
11 jours plus tard
bonjour.

déjà merci pour ce tuto (en plus des autres quoi ).

j'ai un soucis mais je ne sais pas si cela vient de la propag ou si j'ai un soucis dans la config.

tous les test locaux passent (named-checkconf , named-checkzone...)
mais les test sur mon ndd renvoient tous des erreurs .
par contre les test vers le ns passent:

je voudrais savoir exactement ce qu'il faut mettre dans les fichiers:

/etc/hostname
/etc/resolv.conf
/etc/hosts

car c'est confus sur tous les tuto du net.

mon ndd >> monndd.com
le ns voulu >> ns.monndd.com
mon ip >> 192.168.1.27
mon ip ext >> 10.0.0.1
le nom local du serveur >> lucien

/etc/bind/db.myzone:

monndd.com.   IN SOA ns.monndd.com. postmaster.monndd.com. (
                                2015041202
                                 43200
                                 3600
                                 1216000
                                 86400)
@                       IN NS   ns.monndd.com.
@                       IN NS   ns3.xtremeweb.de.
@                       IN MX 1   mail.monndd.com.
ns                      IN A    10.0.0.1
ns3                     IN A    130.185.108.193
/etc/hostname
ns.monndd.com
/etc/resolv.conf
domain monndd.com
search mondd.com
nameserver 127.0.0.1

/etc/hosts
127.0.0.1       localhost.localdomain   localhost
127.0.1.1       lucien

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

192.168.1.27            lucien.monndd.com     ns.monndd.com ns
192.168.1.27            monndd.com
#127.0.0.1       lucien.monndd.com lucien
depuis http://network-tools.com si je ping "monndd.com" il trouve rien
si je ping "ns.monndd.com" il trouve bien mon ip ext.

donc je pense que j'ai loupé un truc ....
@jeyy : http://mondedie.fr/d/5947/30

Pour le resolv.conf, il faut laisser les DNS par défaut fournis par ton hébergeur. Le serveur DNS décrit dans le tuto est un serveur autoritaire sur une zone, donc il répond uniquement pour résoudre les adresses de la zone définie, ce n'est pas un cache DNS.
ok merci, mais pour le reste est-ce que tu vois quelques chose qui cloche sinon?
parce que ce que je pige pas c'est que tous les test vers "ns.monndd.com" répondent comme je le voudrais pour "monndd.com", et ça je vois pas pourquoi en fait.
re.

bon bin j'ai rajouté :
@                       IN A    10.0.0.1
et ça refonctionne on dirait
3 mois plus tard
Bonjour,

j'aurai besoin d'un peu d'éclaircissement sur le sujet du coin
Je vais donner des exemples, ca m'aidera pour la suite.
Imaginons :
Hostname -> patate
ndd -> douce.com
nameserver -> un truc qui marche -_-'
; ZONE : douce.com
; ------------------------------------------------------------------
$TTL 7200

@       IN      SOA    patate.douce.com. hostmaster.douce.com. (
                                        2014102001 ; Serial
                                        14400      ; Refresh
                                        3600       ; Retry
                                        1209600    ; Expire - 1 week
                                        86400 )    ; Minimum

; NAMESERVERS

@                   IN                NS                   patate.douce.com.
@                   IN                NS                   ns.kimsufi.com.


; Enregistrements A/AAAA

@                   IN                A                        01.02.03.04
@                   IN                AAAA                 1111:1111:1111::1

patate		    IN		      A		     01.02.03.04
patate		    IN		      AAAA		      1111:1111:1111::1

ns1                 IN                A                          01.02.03.04 
ns1                 IN                AAAA                 1111:1111:1111::1

; Sous-domaines - Serveur web
www                 IN                CNAME                douce.com
Le Hosts, devrait donc ressembler à ça ? 
127.0.0.1 localhost.localdomain localhost
01.02.03.04            patate.douce.com       patate
111:111:111::1     patate.douce.com       patate
Enfin je crois qu'il y a un truc que j'ai pas trop compris dans tout ça.
Dans le Hostname faut t-il mettre juste un nom (patate) ou le ndd avec(patate.douce.com) ?

A la deuxieme page, tu dis que si l'Hostname est "serveur1" il faut remplacer "ns1" par "serveur1" Ce qui veut dire que dans le tuto, l'Hostname est "ns1" ?
Bonjour à vous !

J'ai il y a quelques jours acheté un serveur Kimsufi pour un projet WEB ..

Alors que j'avais besoin de faire le paramétrage de BIND, je suis tombé sur ce fameux tutoriel qui au passage est vraiment génial !

Maintenant le problème que je rencontre depuis environ 1 heure ..

J'ai donc un domaine acheté chez : godaddy.com (vraiment pas cher et opérationnel avec kimsufi 20 minutes après l'achat )

Le serveur lui, tel que plus haut est chez Kimsufi (un KS-2)

Lorsque je m'occupe de la sécurité du serveur DNS, plus particulièrement sur DNSSEC j'obtiens une erreur bien méchante après cette commande :
dnssec-signzone -eYYYYMMDDHHMMSS -t -g -k Kdomain.tld.ksk.key -o domain.tld db.domain.tld Kdomain.tld.zsk.key
J'ai, bien entendu tout bien remplacer, réaliser les includes dans le fichier db mais, lorsque je tape cette commande j'ai cette erreur qui apparait :
dnssec-signzone: fatal: No self-signed KSK DNSKEY found. Supply an activekey with the KSK flag set, or use '-P'.
Je me suis donc dis, bon ok j'ai dû faire une connerie je supprime les .key/.private et je vais retaper toutes les commandes, mais non, même erreur.

Après quelques recherches sur Google, aucun résultat concret ... J'espère que l'un d'entre vous s'aura me dire comment corriger ce problème

En tout cas, merci à vous par avance, et merci au créateur de ce tutoriel.
J'ai pas trop d'idée, tu as du faire une erreur lors de l'inclusion ou avec les paramètres de la commande dnssec-signzone.
20 jours plus tard
Mettez à jour BIND, un exploit a été publié il y a quelques jours permettant une attaque DDoS.
5 jours plus tard
Bon je suis en phase étude/préparation avant la mise en place de mon resolveur DNS question est ce que :



correspond bien à ce que j'ai fait :



Ensuite

Est ce obligatoire(nécessaire) de mettre dans le fichier "/etc/bind/domain.tld/db.domain.tld" les nameservers gandi et kimsufi ?
dans ce meme fichier j'indique "ns1" avant mon nomdedomain.fr à quoi cela correspond ? est la même chose pour tous les nom de domaine quelque soit le registrar ?

merci
Hello,

Je me suis fait avoir bêtement donc pensez-y: pour la clé publique à transmettre au registrar, supprimez les espaces

Ptikrazy
13 jours plus tard

Bonjour à tous,

J'ai la même question que dedic, est-ce que quelqu'un peux nous indiquer en clair ce qui doit figurer dans les onglets "Zone DNS" et "Gestion DNS" chez OVH ?

Je suppose que ce doit être ça avec :

host : ns1234567
domaine : cpasca.net
@ip4 : 123.234.123.234
@ip6 : 2001:11aa:9:1

**************************************************************************
Zone DNS :
**************************************************************************

$TTL 86400
@		IN	SOA          ns1234567.cpasca.net. hostmaster.cpasca.net. (2015082601 86400 3600 3600000 300)

	    IN NS     ns1234567.cpasca.net.
                IN NS     ns.kimsufi.com.

                IN MX 10  mail.cpasca.net.

                IN A      123.234.123.234
                IN AAAA   2001:11aa:9:1
www             IN A      123.234.123.234

mail              IN CNAME  ns1234567.cpasca.net.
pop3             IN CNAME  ns1234567.cpasca.net.
smtp             IN CNAME  ns1234567.cpasca.net.

          600 IN TXT    "v=spf1 a mx mail.cpasca.net ~all"
ownercheck          IN TXT    "123abc456"


**************************************************************************
Serveur DNS :
**************************************************************************

ns1234567.cpasca.net               123.234.123.234
ns.kimsufi.com		                    -
**************************************************************************

A force de manip je n'ai maintenant plus de zone DNS chez OVH, "Une erreur est survenue lors de la demande de réinitialisation des serveurs DNS" me dit l'interface, (donc ouverture d'un ticket).

Mais pour éviter ce genre de désagrément une pt'ite info siouplait ?

Merci !

Et encore Mille et un merci à Hardware pour sont (ses) tutos bien expliqués.

Rémy.😉

@dedic et @Rémyy :

Les NS (Nameservers) d'un nom de domaine sont les serveurs DNS autoritaires du domaine, donc les seuls serveurs qui possèdent une copie de la zone DNS du domaine et sous-domaines, c'est l'autorité ultime (dernier maillon de la chaine, autoritaire sur la zone).

Donc en serveur primaire vous avez votre serveur DNS :

ns1.domain.tld (ns1 est arbitraire, vous êtes libre de mettre ce que vous voulez, mais c'est normalisé comme ça)

En serveur secondaire, il faut mettre celui/ceux de votre registrar et/ou hébergeur. Par exemple mon registrar est Gandi donc le serveur DNS secondaire est ns6.gandi.net comme indiqué sur cette page, mon hébergeur est Kimsufi, le serveur DNS secondaire est ns.kimsufi.com comme indiqué dans l'espace client Kimsufi.

A chaque fois, vous devez chercher les serveurs DNS secondaires appropriés.

Donc pour ta question @Rémyy :



On laisse la zone DNS complètement vide puisqu'elle n'est plus gérée par OVH mais bien par notre serveur DNS.



EDIT : Je viens de relire le tutoriel, en effet je n'ai pas du tout expliqué le rôle d'un serveur DNS autoritaire et celui des NS d'un domaine, je mettrai à jour le tuto la semaine prochaine. A la base, j'étais parti du principe que le tutoriel ne pouvais être suivi que par des personnes avertis sur le sujet, c'est pour ça que je n'avais pas détaillé ça. Qu'on soit bien d'accord, ce tutoriel n'est pas adapté si on ne connait pas un minimum le fonctionnement du Domain Name System.

https://fr.wikipedia.org/wiki/Domain_Name_System
https://openclassrooms.com/courses/gerer-son-nom-de-domaine
https://openclassrooms.com/courses/maradns-comme-serveur-dns/serveur-dns-autoritaire-et-serveur-dns-recursif
Oh justement, ne penses-tu pas qu'utiliser NSD avec Unbound est une meilleure solution pour mettre en place un serveur DNS autoritaire (plutôt que d'utiliser Bind9) ?
Bonjour,

J'ai un serveur dédié chez soyoustart et mon domaine est chez OVH.

Dans la gestion des dns chez OVH, j'ai mis mon serveur dns du dédié nsxxxx.ip-3x-xx-xx.eu. et aussi en secondaire sdns2.ovh.net. Au lieu de mettre mon dns du serveur dédié j'aurais pu mettre ça à la place ns.mondomaine.com avec son adresse IP de ma VM.

Si j'ai bien compris le tuto ?

Mais quand je fais un 
named-checkconf -z
zone mondomaine.com/IN: loaded serial 2015083004
zone xxx.xx.178.in-addr.arpa/IN: loaded serial 2015083004
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1
Je n'ai pas d'erreur.

Par contre quand je fais 
named-checkconf db.mondomaine.com
db.osnetworking.com:1: unknown option '$TTL'
db.osnetworking.com:3: unknown option 'Serial'
db.osnetworking.com:4: unknown option 'Refresh'
db.osnetworking.com:5: unknown option 'Retry'
db.osnetworking.com:6: unknown option 'Expire'
db.osnetworking.com:7: unknown option 'Minimum'
J'ai ces erreurs, je ne sais pas d'où ça peut venir.

Pouvez vous m'éclairer ?

Merci
Mauvaise commande, la bonne c'est ça : 
named-checkzone mondomaine.com /etc/bind/domain.tld/db.mondomaine.com
Bonjour,

Merci pour la réponse.
Le teste de la zone me met bien ok.
Je redémarre le service bind.
Pour voir si tout est bien démarré je regarde les logs : 
test@root:cat /var/log/syslog
Je m'apperçois que j'ai des erreurs dans le fichiers logs :
Aug 31 09:25:40 test 
Aug 31 09:25:40 test named[25909]: zone mondomaine.com/IN: sending notifies (serial 2015083004)
Aug 31 09:25:40 test named[25909]: zone 213.33.178.in-addr.arpa/IN: sending notifies (serial 2015083004)
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving './NS/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving 'ns/A/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving 'ns398993.ip-37-59-43.eu/A/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving 'ns/AAAA/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving 'ns398993.ip-37-59-43.eu/AAAA/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns398993.ip-37-59-43.eu/A/IN': 2001:67c:1010:23::53#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns398993.ip-37-59-43.eu/AAAA/IN': 2001:67c:1010:23::53#53
Aug 31 09:25:40 test named[25909]: error (unexpected RCODE REFUSED) resolving './DNSKEY/IN': 213.251.188.141#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns398993.ip-37-59-43.eu/AAAA/IN': 2001:41d0:1:4a90::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:41d0:1:1983::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'sdns2.ovh.net/AAAA/IN': 2001:41d0:1:1983::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'sdns2.ovh.net/A/IN': 2001:41d0:1:1982::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'sdns2.ovh.net/AAAA/IN': 2001:41d0:1:1982::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns100.ovh.net/AAAA/IN': 2001:41d0:1:1984::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns100.ovh.net/A/IN': 2001:41d0:1:1984::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns100.ovh.net/AAAA/IN': 2001:41d0:1:1981::1#53
Aug 31 09:25:40 test named[25909]: error (network unreachable) resolving 'ns100.ovh.net/A/IN': 2001:41d0:1:1981::1#53
Comment je peux faitr pour résoudre ces erreurs ?

Merci
Hardware wrote:On laisse la zone DNS complètement vide puisqu'elle n'est plus gérée par OVH mais bien par notre serveur DNS.
Hello,
Côté ovh, j'ai deux DNS de spécifiés (mon serv et celui de kimsufi), par contre ma zone DNS est déjà remplie et je ne peux pas la drop car :

Échec d'import de la zone

zone <mondomain.tld>/IN: has 0 SOA records
zone <mondomain.tld>/IN: has no NS records

Du coup, pour le moment, ma zone DNS chez OVH est identique à celle de mon dédié (sauf pour le SOA qui pointe sur ovh)

C'est normal ?
Merci
Hardware wrote:même si tu édites en avancé ?
J'pensais l'avoir fait en avancé, mais non, désolé.
Pour confirmation, je dois bien me retrouver avec une zone DNS complètement vide (même plus de TTL/SOA) côté OVH ?
Non, meme en mode avancé, impossible car :
zone <mondomain.tld>/IN: has 0 SOA records
zone <mondomain.tld>/IN: has no NS records
Demande directement au support, parce que j'avais fait la manip depuis l'ancienne interface à l'époque, avec la nouvelle je sais pas si c'est possible.
J'essaye depuis l'ancienne interface là, je galère trop avec la nouvelle, elle est trop pourrie de partout...

Edit: en fait j'ai juste pas compris l'interface OVH, j'avais sélectionné toute ma zone et j'avais delete le contenu, alors qu'il fallait cliquer sur un petit bouton "delete DNS zone"
Et c'est good, j'ai plus de zone DNS côté OVH maintenant

Merci Hard ! (comme toujours )
Depuis la nouvelle interface il y a ce bouton ?
je sais pas, je m'en sert vraiment pas de la nouvelle, il manque les 3/4 des options dedans...
Mais depuis l'ancienne, oui
7 jours plus tard
Bonjour,
je voudrais aussi mettre en place mon serveur DNS en me servant de votre tutoriel. Toutefois je voudrais avoir quelques précisions sur le fichier/etc/bind/domain.tld/db.domain.tld
; Enregistrements A/AAAA

@ IN A IPv4 de votre serveur
@ IN AAAA IPv6 de votre serveur

hostname IN A IPv4 de votre serveur
hostname IN AAAA IPv6 de votre serveur

ns1 IN A IPv4 de votre serveur
ns1 IN AAAA IPv6 de votre serveur

; Sous-domaines - Serveur web
www IN CNAME hostname
blog IN CNAME hostname
forum IN CNAME hostname
...

; Sous-domaines - Serveur mail
smtp IN CNAME hostname2
imap IN CNAME hostname2
pop IN CNAME hostname2
...

; Sous-domaines - Seedbox
plex IN CNAME hostname3
torrent IN CNAME hostname3
...

; Enregistrement MX (Mail Exchanger)

@ IN MX 10 mail.domain.tld.

; Enregistrement SFP, DKIM, ...etc

...
Dans cet exemple les noms "hostname" , "hostname2" et "hostname3" représentent quoi exactement??? pour hostname je sais que c'est le nom de mon serveur et les autres????

Merci de votre réponse
Les autres correspondent à d'autres serveurs, dans l'exemple, le serveur web, de mail et la seedbox sont 3 serveurs différents.