DNS Secondaire : Résilience et Haute Disponibilité

Protégez votre domaine avec des serveurs DNS secondaires pour un failover automatique.

Un DNS secondaire (ou slave) est un serveur qui maintient une copie de votre zone DNS obtenue depuis le serveur primaire (master). Si le primaire tombe, les secondaires continuent de répondre avec les données répliquées. C'est le mécanisme fondamental de haute disponibilité du DNS - et la raison pour laquelle chaque domaine doit avoir au moins deux serveurs NS.

La synchronisation entre primaire et secondaires utilise les transferts de zone (AXFR pour transfert complet, IXFR pour incrémental). Le serial number dans le SOA indique quand une mise à jour est disponible. C'est un système robuste utilisé depuis les débuts du DNS.

Aujourd'hui, les providers DNS managés gèrent cette complexité pour vous. Mais comprendre le fonctionnement des secondaires est utile pour diagnostiquer les problèmes de propagation, configurer des architectures multi-provider, ou gérer vos propres serveurs DNS.

Comment Fonctionne la Réplication DNS

La synchronisation primaire/secondaire suit un processus défini :

  • Transfert de zone (AXFR) : Le secondaire demande une copie complète de la zone au primaire. Utilisé lors de la configuration initiale ou après de gros changements.
  • Transfert incrémental (IXFR) : Seuls les changements depuis le dernier serial connu sont transférés. Plus efficace pour les zones qui changent peu à la fois.
  • Notification (NOTIFY) : Le primaire peut notifier les secondaires qu'une mise à jour est disponible, plutôt que d'attendre le refresh timer du SOA.
  • Expiration de zone : Si le secondaire ne peut pas joindre le primaire pendant la durée "expire" du SOA, il cesse de répondre pour cette zone.

Pourquoi Utiliser des DNS Secondaires

Les secondaires apportent plusieurs avantages critiques :

  • Haute disponibilité : Si le primaire tombe, les secondaires continuent de répondre. Vos services restent accessibles pendant que vous réparez.
  • Distribution géographique : Placez des secondaires dans différentes régions pour réduire la latence DNS pour vos utilisateurs mondiaux.
  • Protection DDoS : Plusieurs serveurs absorbent mieux les attaques. Si un provider est ciblé, les autres continuent de fonctionner.
  • Indépendance provider : Avec des secondaires chez différents providers, vous n'êtes pas dépendant d'un seul fournisseur. Vraie résilience.

Configurer des DNS Secondaires

La configuration dépend de votre architecture :

  1. Provider managé (simple) : Les providers comme Cloudflare, Route 53 gèrent automatiquement les secondaires. Vous n'avez rien à faire - leur infrastructure est déjà redondante.
  2. Multi-provider (recommandé) : Configurez votre provider principal comme master, un second provider comme slave. Le slave récupère la zone via AXFR/IXFR depuis le master.
  3. Serveurs propres (BIND) : Sur le master, autorisez les transferts (allow-transfer). Sur le slave, configurez la zone comme type slave avec l'IP du master.
  4. Déclaration au registrar : Ajoutez tous les NS (primaire et secondaires) dans les NS de votre domaine au registrar. Les clients utiliseront n'importe lequel.

Exemples de Configuration

Voici des exemples de configuration primaire/secondaire :

; Configuration BIND - Serveur PRIMAIRE (master)
; /etc/bind/named.conf.local
zone "example.com" {
    type master;
    file "/var/lib/bind/example.com.zone";
    allow-transfer { 198.51.100.10; 203.0.113.20; };  // IPs des secondaires
    also-notify { 198.51.100.10; 203.0.113.20; };
};

; Configuration BIND - Serveur SECONDAIRE (slave)
zone "example.com" {
    type slave;
    file "/var/lib/bind/example.com.zone";
    masters { 192.0.2.1; };  // IP du primaire
};

; Vérifier la synchronisation
$ dig @ns1.example.com SOA example.com +short | awk '{print $3}'
2024012501
$ dig @ns2.example.com SOA example.com +short | awk '{print $3}'
2024012501  // Doit être identique

; Forcer un transfert de zone (sur le secondaire)
$ rndc retransfer example.com

; Tester un AXFR (si autorisé)
$ dig @ns1.example.com example.com AXFR

Le serial identique sur tous les NS confirme que la synchronisation fonctionne. Si le serial diffère, vérifiez que les transferts sont autorisés et que le réseau permet la connexion.

Bonnes Pratiques DNS Secondaire

Optimisez votre architecture secondaire :

  • Diversité provider : Utilisez des providers différents pour primaire et secondaires. Si un provider a une panne massive, l'autre continue.
  • TSIG/AXFR sécurisé : Protégez les transferts de zone avec TSIG (clé partagée). Limitez allow-transfer aux IP de vos vrais secondaires.
  • Expire raisonnable : Le timer expire dans le SOA doit être suffisamment long (1-2 semaines) pour survivre à une panne prolongée du primaire.
  • Monitoring de synchronisation : Surveillez que tous les NS ont le même serial. Un secondaire désynchronisé servira des données obsolètes.

Checklist DNS Secondaire

  • Au moins 2 NS configurés et déclarés
  • NS sur des réseaux/providers différents
  • Transferts de zone fonctionnels (testés avec AXFR)
  • NOTIFY activé pour propagation rapide
  • Serial identique sur tous les NS
  • Monitoring de chaque NS individuellement

FAQ - DNS Secondaire

Combien de secondaires dois-je avoir ?

Minimum 2 NS total (1 primaire + 1 secondaire). Pour une vraie résilience, 3-4 NS chez 2-3 providers différents est recommandé.

Le secondaire peut-il devenir primaire ?

Pas automatiquement dans le DNS standard. Mais vous pouvez manuellement promouvoir un slave en master en changeant sa configuration.

Les modifications sont-elles instantanées sur les secondaires ?

Presque. Avec NOTIFY, c'est généralement quelques secondes. Sans NOTIFY, ça dépend du timer refresh (minutes à heures).

Que se passe-t-il si le primaire tombe longtemps ?

Les secondaires continuent de répondre jusqu'à expiration de la zone (timer expire du SOA). Après, ils cessent de répondre et votre domaine devient inaccessible.

AXFR est-il sécurisé ?

Par défaut, non - n'importe qui peut potentiellement demander toute votre zone. Limitez avec allow-transfer et/ou utilisez TSIG pour l'authentification.

MoniTao surveille-t-il la synchronisation ?

Oui, MoniTao peut surveiller le serial SOA sur chaque NS et vous alerter si un secondaire est désynchronisé ou si un NS devient inaccessible.

Assurez la Résilience de Votre DNS

Les DNS secondaires sont votre filet de sécurité. Une architecture bien conçue avec des serveurs chez différents providers vous protège contre les pannes et les attaques.

Ne vous contentez pas des secondaires par défaut de votre provider. Envisagez une vraie diversification multi-provider, et surveillez que tous vos NS restent synchronisés avec MoniTao.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs