Qu’est-ce qu’un DNS secondaire ?

Question : préférez-vous prendre un avion équipé d’un ou de deux moteurs ? La plupart des passagers auraient sans doute tendance à choisir l’avion doté de plusieurs moteurs.

Et c’est l’intérêt d’avoir un DNS secondaire. Que peut-il arriver à une entreprise si un serveur principal devient indisponible ou compromis d’une autre manière ? Cette entreprise (ou toute autre) peut-elle se permettre de voir ses activités s'arrêter pendant ce temps d'arrêt ? Quel message négatif cela enverrait-il aux utilisateurs du service ? D’un point de vue économique, perdre l’utilisation du serveur principal d’une entreprise peut s’avérer aussi catastrophique qu’une panne de moteur dans l’aviation.

Et c’est sans compter l’autre grand avantage offert par l’adaptation d’un DNS secondaire, à savoir sa capacité à prendre en charge l’équilibrage de charge au sein du serveur DNS primaire.

Avant d’aller plus loin, il convient de répondre à la question suivante : qu’est-ce qu’un DNS ? Les systèmes de noms de domaine font office de traducteurs qui transforment les adresses IP complexes en noms de domaine plus faciles à comprendre.

Supposons que vous soyez intéressé(e) par un sujet traitant d’un produit proposé par International Business Machines (IBM), mais que vous n’êtes pas sûr(e) de son titre. Vous tapez « IBM » dans le navigateur Web de votre fournisseur de services, ce qui vous amène à la page principale de l’entreprise. Grâce au DNS, il n'est pas nécessaire de saisir l'adresse IP complète d'IBM. Le DNS suppose que c'est là que vous voulez aller en fonction du terme de recherche saisi.

Parfois, un DNS est décrit comme le « répertoire » d’Internet car sa fonctionnalité est similaire, bien qu'il soit peut-être plus approprié de le comparer à un opérateur téléphonique traditionnel. Il y a plusieurs décennies, l'opérateur téléphonique local jouait le rôle d'une sorte de DNS humain : il prenait votre numéro et vous connectait au correspondant souhaité. Le DNS automatise désormais l’ensemble du processus de traduction.

Un système de noms de domaine dépend d'une hiérarchie établie qui est régie par des serveurs racine. Au-dessous d'eux, dans la hiérarchie, se trouvent les domaines de premier niveau (TLD), tels que les adresses se terminant par « .com » et « .org ». Le reste de la hiérarchie est constitué de serveurs de noms de domaine individuels.

Un système DNS est considéré comme un système de base de données distribué, chaque nœud représentant un « serveur de noms », qui est la partie du système fournissant les traductions nécessaires pour ce nom de domaine particulier. Tous les domaines de ce système contiennent un ou plusieurs « serveurs de noms faisant autorité », appelés ainsi parce que ce serveur publie des informations sur ce domaine, ainsi que sur tous les serveurs de noms principaux des domaines subordonnés qu'il contient.

Le fonctionnement des DNS est simple :

1. Vous saisissez un nom de domaine dans le navigateur Web proposé par votre fournisseur d’accès à Internet (FAI).
2. L’appareil informatique que vous utilisez envoie une requête de recherche à un serveur DNS.
3. Le serveur DNS analyse sa multitude de ressources pour trouver l’adresse IP qui correspond au nom de domaine de votre recherche Web.
4. Le serveur DNS renvoie l’adresse IP localisée à l’appareil que vous utilisez.
5. Votre appareil appelle l’adresse IP exacte que vous recherchez.

Maintenant, en cas de problème avec le serveur DNS principal, par exemple s'il est devenu techniquement indisponible ou s'il est actuellement surchargé, le serveur DNS secondaire passe à l'action, exécutant les recherches nécessaires et effectuant les traductions d'adresses IP nécessaires. Grâce au fonctionnement immédiat du DNS secondaire via le processus de basculement, les utilisateurs peuvent accéder au site Web sans subir de baisse notable de fonctionnalité.

De même, un DNS secondaire prend en charge les tâches du serveur de messagerie du serveur DNS primaire (y compris le routage des e-mails et la gestion des enregistrements d’échange de messages (MX)), afin qu’il puisse contribuer à assurer que le flux du trafic de messagerie ne soit pas à l’arrêt. De cette manière, le site ne subit aucun temps d'arrêt dû à des pannes, ce qui constitue la véritable mesure de la résilience, c'est-à-dire la capacité à continuer de fonctionner malgré des conditions défavorables.

Si le serveur DNS secondaire est mis en service, les informations lui sont transmises par le serveur DNS primaire. Cela se fait via un processus connu sous le nom de transfert de zone. Les copies des fichiers de zone partagées avec le serveur DNS secondaire via le transfert de zone sont des fichiers en lecture seule qui ne peuvent pas être modifiés.

Les transferts de zone dépendent fortement de l’utilisation d’interfaces de programmation des applications, qui permettent aux serveurs DNS primaires de transférer automatiquement les données de zone DNS aux serveurs secondaires. De cette façon, les deux serveurs DNS peuvent conserver les mêmes informations. Les API permettent au serveur principal de contacter le serveur secondaire afin de s'assurer qu'ils fonctionnent de manière synchronisée avec des enregistrements DNS identiques et des transferts de zone répertoriés.

Le processus de transfert de zone repose sur la création d'enregistrements de serveur de noms (NS). Les enregistrements NS permettent d'établir quels sont les serveurs qui font autorité pour ce domaine, ce qui définit les priorités du domaine. Si l'adresse IP du serveur DNS secondaire figure dans les enregistrements NS, le site web reste fonctionnel, même si son serveur primaire est indisponible pour une raison quelconque.

Les transferts de zone sont initiés par l'émission d'un enregistrement SOA (Start of Authority), qui fournit aux serveurs DNS secondaires les données nécessaires à la synchronisation des données de zone DNS, fonctionnant selon un type de contrôle de version qui déclenche des mises à jour en fonction du numéro de série de l'enregistrement SOA.

C’est ainsi que les nouvelles versions sont enregistrées. En mettant à jour le service DNS secondaire avec les nouvelles données de l’enregistrement SOA, le domaine peut rester opérationnel en cas de défaillance du serveur principal. Cela empêche les serveurs en panne d’affecter le temps de fonctionnement.

Le transfert de zone faisant autorité (AXFR) est un autre protocole qui permet aux serveurs DNS d’échanger des fichiers de zone. AXFR synchronise ces données sur tous les serveurs connectés, afin qu’ils puissent tous fonctionner avec les dernières informations disponibles.

Les serveurs DNS secondaires offrent de nombreux avantages comme suit.

Le principal avantage de la mise en œuvre d’un serveur DNS secondaire implique le même type de logique qui nous incite à souscrire des polices d’assurance et à disposer de fournitures d’urgence avant que des conditions météorologiques dangereuses ne frappent. En ajoutant un serveur DNS secondaire, nous reconnaissons un fait regrettable mais inévitable : il arrive que les machines et les systèmes tombent en panne.

Un serveur DNS secondaire adresse ce problème en fournissant une solution provisoire qui offre la redondance nécessaire lorsqu'un serveur DNS primaire tombe en panne pour une raison ou une autre. La mise en place d’une solution de sauvegarde offre aux organisations la tranquillité d'esprit de savoir que les services DNS de l'entreprise resteront accessibles aux utilisateurs.

Un autre avantage de l'utilisation d'un système DNS est qu'il permet de répartir la charge. Il y parvient en fournissant plusieurs adresses IP pour un seul nom de domaine. Cela permet à un serveur DNS de répartir son trafic entrant entre différents serveurs, en fonction de l'utilisation de divers algorithmes.

Par exemple, si le serveur DNS suit une configuration d’algorithme Round-Robin, le serveur DNS exécute toute sa liste d’adresses IP et répartit la charge uniformément sur plusieurs appareils.

Un système DNS peut également être utilisé pour améliorer la sécurité globale. En installant un pare-feu dans ce système, le trafic entrant peut être autorisé tel quel, filtré selon les besoins ou entièrement désactivé. En outre, des pare-feux peuvent être mis en place, qui permettront uniquement aux requêtes DNS autorisées d'accéder aux serveurs DNS secondaires.

Un DNS peut également contribuer à la sécurité grâce au développement d'un « serveur principal caché », qui est un serveur DNS principal invisible depuis l'Internet public. Son adresse IP n’est pas enregistrée parmi les enregistrements de ressources de ce système. Les serveurs de noms secondaires gèrent les réponses aux requêtes à la place du serveur principal. L’idée est de mieux protéger le serveur principal contre les cyberattaques en dissimulant au maximum sa présence.

La sécurité peut être encore renforcée en utilisant des extensions de sécurité du système de noms de domaine (DNSSEC), qui aident à filtrer et à valider les requêtes DNS. Ces extensions aident à confirmer la nature authentique des recherches de noms de domaine. Ils contribuent également à la prévention des cyberattaques, telles que l'usurpation du DNS, au cours de laquelle un site est inondé de requêtes DNS contrefaites au point que le système se retrouve submergé et ne fonctionne plus.

Un DNS secondaire peut même améliorer les performances, car il peut résoudre plus rapidement les problèmes de noms de domaine, ce qui se traduit par une transmission plus rapide des informations. Par conséquent, en mettant en œuvre un DNS secondaire, les problèmesde latence peuvent être réduits.

Bien que ses avantages l’emportent largement sur ses inconvénients, le DNS secondaire peut poser quelques problèmes. Ces derniers sont toutefois mineurs.

Les mises à jour du serveur secondaire peuvent être légèrement affectées. En outre, même si les serveurs secondaires sont conçus pour démarrer en cas de besoin, ils sont susceptibles d’afficher un léger problème de performance lorsqu’ils se mettent en marche.

Les systèmes doivent être synchronisés pour garantir un fonctionnement optimal. Le serveur secondaire requiert toujours les enregistrements DNS les plus récents, et cela peut s’avérer problématique selon la fréquence des changements.

Il est possible que l’utilisation d’un DNS secondaire augmente la complexité et exige une main-d’œuvre dédiée pour gérer les serveurs DNS. Gérer efficacement les différents serveurs DNS est toutefois essentiel pour assurer l’intégrité du domaine.

Il existe d’innombrables fournisseurs de services DNS. En voici quelques-uns des plus importants :

• DNS public Google : le DNS public Google propose une fonctionnalité de recherche rapide pour vous aider à répondre aux requêtes DNS. De plus, le service est facile à configurer, même pour les novices, et dispose d’un ensemble complet de protocoles de sécurité en place. De plus, il bénéficie du vaste réseau de centres de données mondiaux de Google.

• Cloudflare : le service DNS de Cloudflare repose sur sa configuration DNS de routage réseau Anycast, dans laquelle une seule adresse peut envoyer du trafic vers plusieurs centres de données dans différentes zones. Les utilisateurs se connectent au serveur le plus proche d'eux, ce qui permet un débit plus rapide et une protection contre les attaques par déni de service distribué (DDoS). Le résolveur DNS public 1.1.1.1. est censé être le plus rapide sur le marché.

• Quad9 : Quad9 est connu pour fournir des fonctionnalités de sécurité supplémentaires, telles que la possibilité de filtrer les logiciels malveillants et de bloquer les tentatives d’hameçonnage. L'entreprise fonctionne comme une entreprise dédiée à la protection de la vie privée des utilisateurs et refuse de conserver les données de navigation ou les informations des utilisateurs.