| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| doc:formations:hebergement:serveur:dns [2021/02/04 11:30] – [Champs DNS] jeremie | doc:formations:hebergement:serveur:dns [2023/06/29 20:31] (Version actuelle) – [Diagnostics] jeremie |
|---|
| C'est bien beau d'avoir des services sur son serveur, mais il vient un moment où l'on veut les exposer avec un nom de domaine parlant, comme https://wiki.tecrd.com ou https://demo.tecrd.com | C'est bien beau d'avoir des services sur son serveur, mais il vient un moment où l'on veut les exposer avec un nom de domaine parlant, comme https://wiki.tecrd.com ou https://demo.tecrd.com |
| |
| C'est l'afffaire de bien configurer DNS (Domain Name Server) en premier lieu. Il faut recourir à une configuration dynamique du DNS si votre serveur n'a pas d'adresse IP fixe. Et il faut jongler un peu plus encore avec du reverse SSH si votre serveur se trouve dans un réseau local (LAN), fondamentalement invisible à l'internet public. | Nb: https://domainr.com est l'un des outils les plus efficace pour trouver un nom de domaine rapidement, et qui soit disponible. |
| | |
| | Une fois celui ci-disponible et enregistré, il faudra l'insérer dans son DNS (Domain Name Server), ou recourir à une configuration dynamique du DNS si votre serveur n'a pas d'adresse IP fixe. Et jongler un peu plus encore si votre serveur se trouve dans un réseau local (LAN), fondamentalement invisible à l'internet public. |
| |
| ====== Registrar ====== | ====== Registrar ====== |
| </code> | </code> |
| |
| Notez que je n'ai pas utilisé d'ALIAS ici. J'ai aussi un serveur mail (champs ''MX'') qui a son propre serveur de nom de domaines ''nsN.mx'' et qui se trouve sur un serveur différent du serveur principal. Attention au "points" très significatifs! Le format d'une zone DNS est très strict. | Notez que je n'ai pas utilisé d'ALIAS ici. J'ai aussi un serveur mail (champs ''MX'') qui a son propre serveur de nom de domaines ''nsN.mx.tecrd.com'' et qui se trouve sur un serveur différent du serveur principal. Attention au "points" très significatifs! Le format d'une zone DNS est très strict. |
| |
| L'entrée ''* IN CNAME tecrd.com.'' est un joker: si aucune des autres lignes de la zone DNS ne correspond à la demande, elle va être utilisé par défaut et donc rediriger n'importe quel sous-domaine vers mon serveur principal. C'est une façon simple de pouvoir "ouvrir" des sous-domaines web sans devoir toucher à la zone DNS. | L'entrée ''* IN CNAME tecrd.com.'' est un joker: si aucune des autres lignes de la zone DNS ne correspond à la demande, elle va être utilisée par défaut et donc rediriger n'importe quel sous-domaine vers mon serveur principal. C'est une façon simple de pouvoir "ouvrir" des sous-domaines web sans devoir toucher à la zone DNS. |
| ==== DNS avancé ==== | ==== DNS avancé ==== |
| |
| La gestion basique d'un DNS peut etre assez simple, comme décrit ici. | La gestion basique d'un DNS peut etre assez simple, telle que documentée ici. |
| |
| Elle deviendra vite très compliquée pour de grosses installations, telles que la gestion d'hyperviseurs pour des parcs de serveurs virtuels (ce que fait Scaleway pour le compte de vos serveurs hébergés chez eux et mutualisés sur de gros serveurs). C'est clairement hors sujet ici! | Elle deviendra vite très compliquée pour de grosses installations, telles que la gestion d'hyperviseurs pour des parcs de serveurs virtuels (ce que fait Scaleway pour le compte de vos serveurs hébergés chez eux et mutualisés sur de gros serveurs). Les sont clairement hors sujet ici! |
| |
| Entre les deux se trouve la gestion du DNS pour un serveur mail, et c'est bien l'une des raison d'utiliser [[doc:formations:hebergement:service:mailinabox|mailinabox]] qui vous mache tout le travail! Plusieurs champs ''TXT'' sont en effet nécessaire pour faire bonne figure, mieux identifier et sécuriser votre serveur mail. Sans ces champs additionnels votre serveur mail pourrait en effet vite être classé comme "pas assez solide", et donc potentiellement serveur de SPAM. Vous ne voulez absolument pas ça! | Entre les deux se trouve la gestion du DNS pour un **serveur mail**, et c'est bien l'une des raison d'utiliser [[doc:formations:hebergement:service:mailinabox|mailinabox]] qui vous mache tout le travail! Plusieurs champs ''TXT'', tel que le champ DKIM ci-dessus sont en effet nécessaires pour "faire bonne figure". Ils permettent de mieux identifier et de sécuriser votre serveur mail aux yeux du monde entier. Sans ces champs additionnels, votre serveur mail finir vite mal classé, et potentiellement serveur de SPAM: vous ne voulez absolument pas ça! Attention aussi, les normes évoluent et se durcissent en la matière et il ne faut pas trop trainer à les suivre pour cette même raison. |
| |
| | Davantage d'explications assez détaillées peuvent être [[https://ns1.com/resources/dns-zones-explained|lues ici]] (anglais). |
| ==== Outils ==== | ==== Outils ==== |
| |
| Deux outils de diagnostic en ligne: | === Diagnostics === |
| | |
| | Quelques outils de diagnostic en ligne: |
| * [[https://intodns.com/tecrd.comp|IntoDNS]] | * [[https://intodns.com/tecrd.comp|IntoDNS]] |
| | * [[https://dnsdumpster.com/|DnsDumpster]] pour une carte complète de vos serveurs publics |
| * [[https://mxtoolbox.com/SuperTool.aspx?action=dns%3atecrd.com&run=toolpage|MXtoolbox]] | * [[https://mxtoolbox.com/SuperTool.aspx?action=dns%3atecrd.com&run=toolpage|MXtoolbox]] |
| | * [[https://www.ssllabs.com/ssltest/analyze.html|SSL labs]] note votre protection SSL/HTTPS (A+) |
| | * [[https://www.hardenize.com|Hardenize]] très complet et pour améliorer la robustesse du serveur |
| |
| {{:doc:formations:hebergement:serveur:dns_issue.png|}} | {{:doc:formations:hebergement:serveur:dns_issue.png}} |
| |
| Ci desuss une recommendation: le ''SOA'' indique la période en seconde de l'expiration du cache, au delà de laquelle les serveurs DNS vont devoir réactualiser leurs tables relatives à vos serveurs. Lorsque l'on est en train d'y toucher on se doute qu'une période courte est utile. Une fois stabilisé, c'est une bonne pratique de l'allonger sensiblement pour réduire la charge des serveurs DNS à travers le monde! | Ci desuss une recommendation: le ''SOA'' indique la période en seconde de l'expiration du cache, au delà de laquelle les serveurs DNS vont devoir réactualiser leurs tables relatives à vos serveurs. Lorsque l'on est en train d'y toucher on se doute qu'une période courte est utile. Une fois stabilisé, c'est une bonne pratique de l'allonger sensiblement pour réduire la charge des serveurs DNS à travers le monde! |
| | |
| | |
| | === Services === |
| | |
| | On peut aussi restreindre l'organisme chargé de faire ou renouveler le certificat via un "Certification Authority Authorization" (il existe des [https://sslmate.com/caa/|outils] en ligne qui vous aident pour cela). |
| | |
| | Cela génère deux lignes de plus à mettre dans la zone DNS, par exemple: |
| | |
| | tecrd.com. IN CAA 0 issue "letsencrypt.org" |
| | tecrd.com. IN CAA 0 iodef "mailto:admin@tecrd.com" |
| | |
| | === Propagation === |
| |
| Sous Linux, l'utilitaire principal est [[https://linuxize.com/post/how-to-use-dig-command-to-query-dns-in-linux/|dig]]. | Sous Linux, l'utilitaire principal est [[https://linuxize.com/post/how-to-use-dig-command-to-query-dns-in-linux/|dig]]. |
| |
| **Propagation**: pour étudier la propagation d'un changement DNS, on peut lui indiquer un "nameserver" spécifique proche du "registrar" (l'entreprise qui gère votre nom de domaine, indépendant des serveurs et hébergements). Ou inversement, on peut savoir si les changements ont été propagés au lointain: par exemple avec ''dig tecrd.com @8.8.8.8'', la demande se fait auprès d'un serveur DNS distant de google. | Pour étudier la propagation d'un changement DNS, on peut lui indiquer un "nameserver" spécifique proche du "registrar" (l'entreprise qui gère votre nom de domaine, indépendant des serveurs et hébergements). Ou inversement, on peut savoir si les changements ont été propagés au lointain: par exemple avec ''dig tecrd.com @8.8.8.8'', la demande se fait auprès d'un serveur DNS distant de google. |
| |
| Une liste plus complète d'outils linux (en anglais): https://linuxhint.com/common_dns_tools/ | Une liste plus complète d'outils linux (en anglais): https://linuxhint.com/common_dns_tools/ |
