16 octobre 2024
Un serveur DNS primaire est le serveur de noms faisant autorité pour un domaine dans le système de noms de domaine (DNS). Il sert de source de référence pour les informations relatives à un domaine, en stockant les copies originales de tous les enregistrements DNS du domaine (y compris les adresses IP et les sous-domaines).
Le système DNS relie les noms de domaine compréhensibles par les utilisateurs aux adresses IP compréhensibles par les ordinateurs, permettant ainsi aux internautes d’accéder au site Web qu’ils recherchent.
Lorsqu’un utilisateur saisit un nom de domaine dans un navigateur Web, son ordinateur communique avec un résolveur DNS, qui navigue dans le système DNS pour atteindre un serveur de noms faisant autorité (souvent le serveur primaire, mais parfois le serveur secondaire si le serveur principal est en panne ou saturé) avec l’adresse IP du site Web demandé. Cette adresse IP correspondante est renvoyée à l’utilisateur, qui est alors connecté au site Web.
Le serveur DNS primaire est l’endroit où un administrateur configure les zones et les enregistrements DNS pour un domaine. Les serveurs secondaires sont configurés pour renforcer la résilience du système. Ces serveurs contiennent des copies complètes des enregistrements configurés dans la zone sur le serveur primaire et servent à résoudre les requêtes lorsque le serveur principal n’est pas disponible.
Les entreprises peuvent configurer des dizaines de serveurs, et la zone (ainsi que les enregistrements qu’elle contient) du serveur de noms primaire est copiée sur tous les serveurs secondaires.
Les serveurs DNS primaires contiennent également les enregistrements SOA (Start of Authority) d’un domaine, qui fournissent une sorte de système de contrôle de version, informant les serveurs secondaires des mises à jour du fichier de zone principal et suivant le processus de réplication avec les serveurs de sauvegarde.
La distinction entre les serveurs DNS primaires et secondaires n’est pas visible pour les utilisateurs sur Internet. Ces serveurs disposent des mêmes informations et la distinction n’a de sens que pour l’administrateur. Le serveur primaire est celui sur lequel les modifications sont apportées, tandis que les serveurs secondaires sont ceux qui reçoivent les copies du serveur principal.
Ce système joue un rôle essentiel dans le routage du trafic DNS et la résilience du réseau.
Gardez la tête dans le cloud
Recevez la newsletter hebdomadaire Think pour obtenir des conseils d’experts sur l’optimisation des paramètres multicloud à l’ère de l’IA.
Le DNS (Domain Name System) est le composant du protocole Internet standard chargé de convertir les noms de domaine compréhensibles pour les utilisateurs en adresses IP (Internet Protocol) qui permettent aux ordinateurs de s’identifier sur le réseau.
Souvent appelé « annuaire téléphonique d’Internet », on peut dire aujourd’hui par analogie que le DNS gère les noms de domaine de la même manière que les smartphones gèrent les contacts. Les smartphones évitent aux utilisateurs de devoir se souvenir de tous les numéros de téléphone en les stockant dans des listes de contacts faciles à consulter.
De même, le DNS permet aux utilisateurs de se connecter à des sites Web à l’aide de noms de domaine internet au lieu d’adresses IP. Plutôt que de devoir se souvenir de l’adresse du serveur Web, « 93.184.216.34 », par exemple, les utilisateurs peuvent se rendre sur la page Web « www.example.com » pour obtenir les résultats escomptés.
Le serveur DNS primaire contient les enregistrements NS (serveur de noms), A, MX et CNAME (entre autres) qui renvoient les données et informations pertinentes à l’utilisateur.
Le serveur primaire contient également l’enregistrement SOA d’un domaine, qui fournit des informations faisant autorité sur ce dernier, notamment le serveur de noms primaire, l’adresse e-mail de l’administrateur, les minuteurs d’actualisation (qui indiquent la fréquence d’actualisation de la zone) et le numéro de série du domaine.
Lorsqu’un domaine est enregistré, les enregistrements correspondants du serveur de noms (NS) sont créés et stockés sur un serveur DNS primaire, généralement fourni par une société d’hébergement ou un fournisseur de services DNS. Si un administrateur souhaite modifier ou mettre à jour des enregistrements DNS, il doit le faire sur le serveur DNS primaire. Les modifications sont ensuite propagées à l’ensemble des serveurs secondaires.
Les administrateurs de serveurs peuvent désigner n’importe quel serveur DNS comme primaire ou secondaire. De fait, les serveurs peuvent être primaires dans une zone et secondaires dans une autre. Cependant, chaque zone DNS ne peut avoir qu’un seul serveur primaire.
Lorsqu’un utilisateur saisit un nom de domaine dans un navigateur ou une application, la requête est transmise à un résolveur récursif. En général, l’appareil de l’utilisateur dispose de paramètres DNS prédéfinis, fournis par le fournisseur d’accès Internet (FAI), qui déterminent le résolveur à déployer.
Ce dernier vérifie son cache DNS (le stockage temporaire dans un navigateur Web ou un système d’exploitation tel que Windows ou Linux) pour trouver l’adresse IP correspondante au domaine. Si les données de recherche DNS ne sont pas mises en cache, le résolveur les récupère auprès du serveur DNS faisant autorité, qui recherche le fichier de zone DNS, met en cache l’enregistrement DNS (pendant une durée spécifiée par la durée de vie (TTL) de l’enregistrement) et renvoie l’adresse IP correspondante à l’appareil de l’utilisateur.
Le navigateur ou l’application peut alors établir une connexion au serveur hôte à cette adresse IP et accéder au site ou au service demandé.
Les serveurs DNS sont classés en deux catégories, « primaire » et « secondaire », en fonction de leur rôle. Alors que le serveur DNS primaire est la source faisant autorité pour les enregistrements DNS d’un domaine et contient la version originale en lecture/écriture du fichier de zone, les serveurs DNS secondaires contiennent des répliques en lecture seule du fichier de zone à des fins d’équilibrage de charge et de gestion de la redondance. Si un serveur primaire est hors service, les requêtes sont automatiquement acheminées vers un serveur secondaire qui répond à la demande.
Les serveurs DNS secondaires ne sont pas indispensables ; les systèmes DNS peuvent fonctionner lorsqu’un seul serveur primaire est disponible. Cependant, il est d’usage et souvent exigé par les bureaux d’enregistrement de noms de domaine de disposer d’au moins un serveur secondaire afin de faciliter le DNS round-robin (qui répartit le trafic de manière égale entre chaque serveur), d’éviter les dénis de service et, de manière générale, de renforcer la résilience du système. En cas de défaillance d’un ou de plusieurs serveurs, une sauvegarde permet de connecter l’utilisateur au site qu’il recherche.
Les serveurs primaires et secondaires contribuent tous deux à préserver l’efficacité des systèmes DNS. Leur association permet de résoudre les requêtes des utilisateurs par n’importe quel serveur disponible, qu’il soit primaire ou secondaire. Examinons plus en détail les différences entre ces deux types de serveurs DNS.
Fonction
En plus de stocker le fichier de zone principal, le serveur DNS primaire répond aux demandes de mise à jour de l’administrateur de domaine et traite les mises à jour dynamiques. Les serveurs de zone secondaires sont des serveurs de secours qui traitent les requêtes DNS pendant les temps d’arrêt du serveur primaire ou quand ce dernier est surchargé.
Gestion et synchronisation des fichiers de zone
Le fichier de zone principal du serveur de noms primaire contient tous les enregistrements A (enregistrements d’adresses IPv4), enregistrements AAAA (enregistrements d’adresses IPv6), enregistrements MX (qui dirigent vers les serveurs de messagerie), enregistrements CNAME (qui mappent les alias à leurs véritables noms de domaine, ou noms de domaine « canoniques »), enregistrements SOA (qui contiennent toutes les informations administratives d’un domaine) et enregistrements TXT (qui contiennent l’enregistrement du cadre des politiques de l’expéditeur pour l’authentification des e-mails) pour un domaine donné. L’administrateur gère directement ce fichier, et toute mise à jour ou modification des enregistrements DNS est effectuée ici en premier lieu.
Les serveurs DNS secondaires sont des répliques du fichier de zone. Ils sont transférés depuis le serveur primaire. Ils ne permettent pas la révision ou les modifications directes du fichier de zone. Ce qu’ils font, c’est qu’ils vérifient périodiquement les mises à jour auprès du serveur primaire lors du processus appelé transfert de zone.
Configuration
La configuration d’un DNS primaire implique la mise en place du fichier de zone, des enregistrements de ressources et des contrôles d’accès, et peut inclure l’organisation de transferts de zones complets et incrémentiels (AXFR et IXFR) vers des serveurs secondaires désignés.
Les configurations DNS secondaires exigent que les administrateurs mettent en place des protocoles de communication entre les serveurs primaire et secondaire pour les transferts de données de zone, et qu’ils spécifient la fréquence des vérifications avec le serveur primaire pour les mises à jour.
Redondance et basculement
Bien que le serveur DNS primaire soit essentiel, il représente également un point de défaillance unique. S’il tombe en panne et qu’aucun serveur secondaire n’a été défini pour prendre le relais, c’est l’ensemble du processus de résolution DNS qui en pâtit. Les serveurs secondaires ne peuvent pas exister sans serveur DNS primaire, mais en cas de panne du serveur primaire, ils peuvent maintenir le DNS opérationnel jusqu’à la restauration du serveur primaire.
Les administrateurs s’appuient sur les serveurs DNS secondaires pour assister le serveur primaire et optimiser la résilience du système.
Comme les serveurs secondaires disposent de copies complètes de tous les enregistrements du serveur de noms faisant autorité, ils peuvent remplacer le serveur primaire en cas de panne ou d’indisponibilité de celui-ci. Si l’administrateur système devait créer et gérer manuellement des copies, cela entraînerait un retard entre les serveurs primaires et secondaires. Au lieu de cela, les DNS primaires et secondaires automatisent le processus de copie.
Lorsqu’un administrateur apporte une modification au serveur primaire, le numéro de série du domaine hébergé dans les enregistrements SOA passe au numéro suivant dans la progression (si le numéro de série était SOA 1, par exemple, il passe à SOA 2).
Dans une configuration DNS traditionnelle, le serveur de noms secondaire interroge le serveur primaire à intervalles réguliers afin d’obtenir le numéro de série SOA actuel. Si le serveur primaire signale une modification, le serveur secondaire envoie une requête AXFR ou IXFR pour lancer la copie. Le serveur primaire renvoie ensuite les mises à jour au serveur secondaire, ainsi que le numéro de série SOA mis à jour.
Cette configuration DNS oblige les serveurs secondaires à lancer des requêtes XFR afin de savoir que le serveur primaire a été modifié, ce qui entraîne une étape supplémentaire qui ralentit le DNS.
Cependant, les configurations plus modernes ont recours au protocole « NOTIFY », qui permet au serveur de noms primaire d’envoyer un message UDP (User Datagram Protocol) au serveur de secours chaque fois qu’un administrateur effectue une modification. Les serveurs secondaires vérifient ensuite le numéro de série SOA pour confirmer la modification et lancer la requête de mise à jour.
Grâce à cette approche des DNS primaires et secondaires, les administrateurs système peuvent optimiser la fiabilité et la résilience du système. Elle permet également de synchroniser les serveurs et de garantir que les utilisateurs peuvent accéder à n’importe quel serveur pour obtenir les informations les plus récentes.
Bien que l’utilisation de DNS primaires et secondaires soit la méthode la plus courante pour garantir la fiabilité grâce à la redondance sur Internet, cette pratique n’est pas sans inconvénients. L’approche primaire-secondaire ne permet souvent pas de prendre en charge des fonctionnalités avancées, telles que la répartition de charge globale (GSLB).
Les outils de gestion du trafic tels que la GSLB dirigent le trafic des utilisateurs vers les serveurs DNS en fonction de leur proximité géographique. Les routeurs DNS envoient automatiquement les requêtes au serveur disponible le plus proche afin d’accélérer le processus de résolution.
Cependant, cette fonctionnalité est souvent propriétaire et ne peut pas être transférée via XFR. Un administrateur de domaine peut configurer le GSLB sur le serveur de noms primaire, mais il ne pourra pas transférer la configuration vers les serveurs secondaires.
Pour résoudre ce problème, les entreprises peuvent choisir des fournisseurs disposant d’un système propriétaire capable de prendre en charge plusieurs serveurs à travers le monde. Le DNS Anycast, par exemple, permet aux administrateurs d’attribuer une adresse IP, ou un ensemble d’adresses IP, à plusieurs serveurs répartis géographiquement.
Contrairement à la dynamique de communication point à point associée au DNS classique, Anycast facilite la communication point à multipoint. Ainsi, lorsqu’un utilisateur soumet une requête, celle-ci est transmise à un réseau de résolveurs (plutôt qu’à un seul résolveur) et au serveur disponible le plus proche pour être résolue.
Lorsque plusieurs fournisseurs sont employés, les entreprises peuvent configurer plusieurs serveurs de noms primaires et placer l’utilisateur entre eux. Plutôt que de s’appuyer sur un DNS secondaire et des transferts XRF, un administrateur configurerait directement tous les serveurs à l’aide d’une API.
Les DNS primaire et secondaire sont tous deux importants pour le routage des requêtes. Par conséquent, la maintenance et l’optimisation des serveurs DNS primaires peuvent accélérer l’ensemble du système DNS. Les entreprises peuvent tirer le meilleur parti de leur DNS en adoptant les pratiques suivantes.
Choisir un fournisseur principal réputé
Choisir un fournisseur DNS offrant une disponibilité élevée, des protocoles de redondance complets et un support client accessible permet de garantir une réponse rapide et fiable aux requêtes DNS.
Envisager les DNS gratuits et les DNS haut de gamme
Les fournisseurs DNS primaires proposent diverses offres, allant des services DNS publics aux serveurs DNS gérés haut de gamme. La solution la mieux adaptée à une entreprise dépendra de ses besoins1, de son budget et de sa complexité. Si l’utilisation d’un DNS public offre aux clients un accès DNS ouvert et gratuit, la migration vers un DNS haut de gamme peut offrir un contrôle plus précis.
Rester au courant des menaces DNS
Se tenir au courant des dernières vulnérabilités et menaces DNS (telles que la tunnellisation DNS, les attaques DDoS et l’usurpation de cache) et utiliser des pare-feu, des extensions de sécurité du système de noms de domaine (DNSSEC) et d’autres mesures de sécurité peut contribuer à sécuriser les serveurs DNS2 et à atténuer les risques.
Maintenir les enregistrements DNS à jour
La mise à jour rapide et fréquente des enregistrements DNS afin de refléter les changements d’adresses IP, d’infrastructure et de services facilite une résolution de domaine cohérente et précise.
L’architecture DNS primaire/secondaire conventionnelle est en passe de devenir obsolète chez les fournisseurs de DNS modernes gérés. Aujourd’hui, la plupart des fournisseurs proposent des adresses IP de serveurs de noms, et derrière chacune de ces adresses IP se trouve un pool de serveurs DNS qui acheminent les requêtes à l’aide de la technique Anycast (un protocole de transport un-à-plusieurs). Cette approche tend à offrir une meilleure redondance et une plus grande disponibilité que le modèle classique.
Cependant, même dans les déploiements DNS avancés, les services DNS secondaires peuvent aider les entreprises dans les démarches suivantes :
Migrer vers de nouvelles infrastructures DNS, avec des dépendances sur d’anciens serveurs DNS
Le DNS secondaire permet aux équipes d’accéder à des outils, du code et des systèmes existants pointant vers un ancien serveur DNS hébergé dans leur entreprise. Lors de la migration de l’architecture, les serveurs secondaires permettent aux administrateurs de définir le fournisseur DNS secondaire sans rompre les dépendances. Cela maintient la synchronisation de tous les processus existants, mais permet au nouveau serveur DNS de répondre si les serveurs internes ralentissent ou tombent en panne.
Éviter les points de défaillance uniques
Pour de nombreuses entreprises disposant de sites à fort trafic et d’applications Web stratégiques, les interruptions de service sont inacceptables. L’utilisation de serveurs de noms secondaires permet aux administrateurs d’éviter tout point de défaillance unique en cas de latence ou d’autres problèmes sur les serveurs DNS primaires.
Mettre en place un DNS redondant avec un seul service géré
Les services gérés configurent un déploiement DNS dédié, qui fonctionne sur un réseau et des serveurs distincts de votre service DNS géré habituel, pour votre entreprise. Cette approche facilite la redondance tout en permettant aux organisations de conserver leurs services auprès d’un seul fournisseur. De plus, le déploiement dédié n’est pas partagé avec d’autres entreprises, ce qui le protège des attaques visant d’autres clients du service.
Ressources
IBM NS1 Connect est un service cloud entièrement géré pour le DNS d’entreprise, le DHCP, la gestion des adresses IP et la direction du trafic des applications.
Les solutions de mise en réseau cloud d’IBM assurent une connectivité haute performance pour alimenter vos applications et vos activités.
Consolidez le support des centres de données avec IBM Technology Lifecycle Services pour la mise en réseau cloud et plus encore.
Notes de bas de page
1 « Should large enterprises self-host their authoritative DNS? », IBM.com, 1er février 2024
2 « Why DNS protection should be the first step in hybrid cloud security », TechRadar, 1er février 2024