4 231
modifications
« Installation et configuration de bind9 » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation et configuration de bind9 (voir la source)
Version du 3 novembre 2019 à 18:42
, 3 novembre 2019→Bind DNSSEC NTA
Aucun résumé des modifications |
|||
| (17 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 48 : | Ligne 48 : | ||
notify-source 213.186.47.110; | notify-source 213.186.47.110; | ||
notify-source-v6 2001:41d0:1:d6e::110; | notify-source-v6 2001:41d0:1:d6e::110; | ||
dnssec-enable yes; | |||
dnssec-validation auto; | |||
dnssec-lookaside auto; | |||
</pre> | </pre> | ||
| Ligne 99 : | Ligne 103 : | ||
}; | }; | ||
allow-query { any; }; | allow-query { any; }; | ||
notify | notify no; | ||
}; | }; | ||
</pre> | </pre> | ||
| Ligne 115 : | Ligne 119 : | ||
domain.tld. IN SOA srv.domain.tld. postmaster.domain.tld. ( | domain.tld. IN SOA srv.domain.tld. postmaster.domain.tld. ( | ||
2008052803 ; Serial | 2008052803 ; Serial | ||
14400 ; Refresh | |||
3600 ; Retry | 3600 ; Retry | ||
604800 ; Expire | 604800 ; Expire | ||
| Ligne 126 : | Ligne 130 : | ||
srv2.domain.tld. IN A 213.186.47.111 | srv2.domain.tld. IN A 213.186.47.111 | ||
</pre> | </pre> | ||
Si vous utilisez <code>apparmor</code>, ajoutez ces lignes dans <code>/etc/apparmor.d/local/usr.sbin.named</code> : | |||
<pre> | |||
/srv/bind/ r, | |||
/srv/bind/* r, | |||
</pre> | |||
=Bind utilise beaucoup de CPU= | |||
Essayez d'ajouter la ligne de configuration suivante : | |||
<pre>managed-keys-directory "/var/cache/bind/";</pre> | |||
Cela peut se produire si vous avez changé la directory dans /etc/bind/named.conf.options vers un dossier sur lequel bind n'a pas le droit en écriture | |||
=Bind DNSSEC NTA= | |||
NTA : Negative Trust Anchor : permet de désactiver la vérification DNSSEC pour une durée déterminée pour un domaine. | |||
Pour ajouter une NTA : | |||
<pre> | |||
rndc nta -l 60 fail01.dnssec.works | |||
rndc nta -dump | |||
</pre> | |||
Un fichier <code>_default.nta</code> est créé dans <code>/var/cache/bind/</code> afin de conserver les NTA en cas de reboot/redémarrage de bind | |||
=Mode debug= | =Mode debug= | ||
| Ligne 134 : | Ligne 162 : | ||
</pre> | </pre> | ||
<code>-u</code> défini l'utilisateur avec lequel il faut le lancer (c'est l'utilisateur bind par défaut sous debian), <code>-d9</code> est le niveau de debug, <code>-g</code> permet de lancer bind en console, <code>-c</code> défini le fichier de configuration | <code>-u</code> défini l'utilisateur avec lequel il faut le lancer (c'est l'utilisateur bind par défaut sous debian), <code>-d9</code> est le niveau de debug, <code>-g</code> permet de lancer bind en console, <code>-c</code> défini le fichier de configuration | ||
=vérifier une zone= | |||
<pre> | |||
named-checkzone domain.tld /chemin/vers/le/fichier/contenant/la/zone/domain.tld | |||
</pre> | |||
=DNSsec= | |||