Enregistrement SOA : Métadonnées de Votre Zone DNS

Comprenez l'enregistrement SOA, le cœur administratif de chaque zone DNS.

L'enregistrement SOA (Start of Authority) est unique et obligatoire pour chaque zone DNS. Il définit les métadonnées fondamentales de la zone : quel serveur est le primaire, comment contacter l'administrateur, et les paramètres de synchronisation entre serveurs DNS. C'est le premier enregistrement de toute zone DNS.

Bien que souvent invisible pour les utilisateurs finaux, le SOA est crucial pour le fonctionnement du DNS. Le numéro de série (serial) détermine quand les serveurs secondaires doivent se mettre à jour. Les timers (refresh, retry, expire) contrôlent la résilience de votre infrastructure DNS.

Une mauvaise configuration SOA peut entraîner des problèmes subtils mais graves : serveurs secondaires désynchronisés, zone expirée et inaccessible, ou propagation lente des mises à jour. Comprendre le SOA est essentiel pour tout administrateur DNS.

Anatomie d'un Enregistrement SOA

Le SOA contient plusieurs champs importants :

  • MNAME (Primary NS) : Le nom du serveur DNS primaire pour cette zone. C'est le serveur où les modifications sont effectuées avant d'être propagées aux secondaires.
  • RNAME (Admin email) : L'email de l'administrateur, encodé en format DNS (le @ est remplacé par un point). admin.example.com signifie [email protected].
  • Serial : Un numéro qui doit augmenter à chaque modification. Les secondaires comparent ce numéro pour savoir s'ils doivent se mettre à jour. Format courant : YYYYMMDDNN.
  • Timers : Refresh (quand vérifier les mises à jour), Retry (réessai après échec), Expire (quand la zone devient invalide), Minimum (TTL négatif).

Pourquoi le SOA Est Important

Le SOA impacte directement la fiabilité de votre DNS :

  • Synchronisation : Les serveurs secondaires utilisent le serial et les timers pour savoir quand et comment se synchroniser. Un serial qui n'augmente pas = pas de mise à jour propagée.
  • Résilience : Le timer expire définit combien de temps les secondaires restent valides si le primaire est inaccessible. Trop court = panne rapide ; trop long = données obsolètes.
  • Diagnostic : Le SOA permet de vérifier si la zone est à jour, quand elle a été modifiée, et qui contacter en cas de problème.
  • Transferts de zone : Les transferts de zone (AXFR/IXFR) utilisent le serial pour déterminer les différences à transférer. Un serial mal géré cause des transferts inutiles ou manqués.

Configurer un Enregistrement SOA

Les valeurs SOA sont généralement gérées par votre provider DNS, mais voici comment les comprendre :

  1. MNAME et RNAME : Le MNAME doit pointer vers votre NS primaire. Le RNAME doit être un email valide où vous recevrez les notifications DNS (rarement utilisé en pratique).
  2. Serial number : Incrémentez à chaque modification. Le format YYYYMMDDNN (ex: 2024012501) est recommandé - date + numéro séquentiel du jour.
  3. Refresh et Retry : Refresh = intervalle de vérification normal (ex: 86400 = 24h). Retry = intervalle après échec (ex: 7200 = 2h). Plus court = plus réactif mais plus de trafic.
  4. Expire et Minimum : Expire = durée de validité sans primaire (ex: 3600000 = ~41 jours). Minimum = TTL pour les réponses négatives (NXDOMAIN).

Exemples d'Enregistrements SOA

Voici le format et des exemples de SOA :

; Format SOA complet
; @ IN SOA mname rname serial refresh retry expire minimum
example.com. IN SOA ns1.example.com. admin.example.com. (
    2024012501 ; Serial (YYYYMMDDNN)
    86400      ; Refresh (24 heures)
    7200       ; Retry (2 heures)
    3600000    ; Expire (41 jours)
    86400      ; Minimum TTL (24 heures)
)

; Valeurs recommandées pour une zone active
    14400      ; Refresh (4 heures)
    3600       ; Retry (1 heure)
    1209600    ; Expire (14 jours)
    3600       ; Minimum (1 heure)

; Vérification avec dig
$ dig SOA example.com +short
ns1.example.com. admin.example.com. 2024012501 86400 7200 3600000 86400

; Vérifier le serial sur plusieurs NS
$ dig @ns1.example.com SOA example.com +short | awk '{print $3}'
2024012501
$ dig @ns2.example.com SOA example.com +short | awk '{print $3}'
2024012501  ; Doit être identique

La comparaison des serial entre serveurs permet de vérifier que tous sont synchronisés. Un serial différent entre NS indique un problème de transfert de zone ou une modification non propagée.

Bonnes Pratiques SOA

Optimisez votre configuration SOA :

  • Serial cohérent : Utilisez toujours le format date YYYYMMDDNN et n'oubliez jamais d'incrémenter à chaque modification. Les providers managés le font automatiquement.
  • Timers adaptés : Pour les zones qui changent souvent, utilisez des refresh courts (1-4h). Pour les zones stables, des refresh plus longs (12-24h) réduisent le trafic.
  • Expire raisonnable : Ne mettez pas un expire trop court (< 7 jours). En cas de panne prolongée du primaire, vos secondaires deviendraient invalides trop vite.
  • Vérifiez la synchronisation : Après une modification, vérifiez que le serial est identique sur tous vos NS. MoniTao peut surveiller cela automatiquement.

Checklist Configuration SOA

  • MNAME pointe vers le NS primaire
  • RNAME contient un email valide
  • Serial utilise le format date YYYYMMDDNN
  • Refresh adapté à la fréquence des changements
  • Expire suffisamment long (> 7 jours)
  • Serial identique sur tous les NS

FAQ - Enregistrements SOA

Puis-je modifier le SOA manuellement ?

Avec les providers DNS managés, le SOA est généralement géré automatiquement. Seuls les administrateurs de serveurs BIND/PowerDNS modifient le SOA manuellement.

Que se passe-t-il si j'oublie d'incrémenter le serial ?

Les serveurs secondaires penseront que la zone n'a pas changé et ne se mettront pas à jour. Vos modifications resteront sur le primaire uniquement.

Le SOA affecte-t-il les performances ?

Indirectement. Des timers refresh trop courts causent du trafic DNS supplémentaire. Des timers trop longs ralentissent la propagation des changements.

Pourquoi mon email utilise un point au lieu de @ ?

C'est le format DNS pour les emails dans le RNAME. Le premier point est remplacé par @ lors de l'interprétation. Échappez un point littéral avec \.

Que signifie le "Minimum" TTL ?

Historiquement le TTL par défaut, aujourd'hui c'est le TTL pour les réponses négatives (NXDOMAIN). Il définit combien de temps cacher "ce nom n'existe pas".

MoniTao surveille-t-il le SOA ?

Oui, MoniTao peut surveiller votre SOA et vous alerter si le serial n'augmente pas après une modification ou si les NS ont des serials différents.

Maîtrisez les Métadonnées de Votre Zone

L'enregistrement SOA est le cœur administratif de votre zone DNS. Une configuration correcte garantit une synchronisation fiable entre serveurs et une résilience en cas de panne.

Vérifiez régulièrement que vos NS sont synchronisés et que le serial augmente correctement. MoniTao surveille votre SOA et vous alerte de toute anomalie.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs