{"id":8388,"date":"2025-10-15T01:28:58","date_gmt":"2025-10-14T23:28:58","guid":{"rendered":"https:\/\/www.lrob.fr\/?page_id=8388"},"modified":"2025-10-15T01:28:58","modified_gmt":"2025-10-14T23:28:58","slug":"deployer-des-serveurs-dns-secondaires-slave-dns-pour-plesk","status":"publish","type":"page","link":"https:\/\/portail.lrob.fr\/en\/doc\/documentation-serveurs-plesk-infogeres\/deployer-des-serveurs-dns-secondaires-slave-dns-pour-plesk\/","title":{"rendered":"D\u00e9ployer des serveurs DNS secondaires (slave DNS) pour Plesk"},"content":{"rendered":"

L’objectif est de mettre en place un ou plusieurs serveurs DNS secondaires (slaves) synchronis\u00e9s automatiquement avec un serveur Plesk<\/strong> principal (master DNS).
Cette architecture am\u00e9liore la r\u00e9silience<\/strong>, la rapidit\u00e9 de propagation DNS<\/strong>, la simplicit\u00e9<\/strong>, et la fiabilit\u00e9 globale<\/strong> de votre infrastructure d\u2019h\u00e9bergement.<\/p>\n\n\n\n

Cette proc\u00e9dure est appliqu\u00e9e lors de la souscription \u00e0 l’option de management des slave DNS via l’offre d’infog\u00e9rance LRob<\/a>. Elle vous donnera tous les pr\u00e9-requis et vous \u00e9clairera sur la proc\u00e9dure et le syst\u00e8me en place dans ce contexte.<\/p>\n\n\n\n

Pr\u00e9-requis<\/h2>\n\n\n\n

Mat\u00e9riel et architecture<\/h3>\n\n\n\n
    \n
  • Un VPS 1 \u00e0 2 vCores<\/strong> et 1 \u00e0 2 Go de RAM<\/strong> suffisent largement (hors trafic massif : >1M de requ\u00eates\/heure).<\/li>\n\n\n\n
  • 2 \u00e0 3 serveurs slave DNS<\/strong> sont recommand\u00e9s pour la redondance.<\/li>\n\n\n\n
  • Compatible ARM64<\/strong> ou x86_64<\/strong>.<\/li>\n\n\n\n
  • Syst\u00e8me recommand\u00e9 : Debian<\/strong> – stable, l\u00e9ger, largement support\u00e9.<\/li>\n\n\n\n
  • Chaque serveur slave doit \u00eatre :\n
      \n
    • H\u00e9berg\u00e9 sur un r\u00e9seau \/ fournisseur distinct<\/strong> (subnet diff\u00e9rent).<\/li>\n\n\n\n
    • Accessible en IPv4 et IPv6<\/strong>, chacune avec une IP d\u00e9di\u00e9e<\/strong>.<\/li>\n\n\n\n
    • Disposant d\u2019un nom d\u2019h\u00f4te (hostname)<\/strong> unique et correct.<\/li>\n\n\n\n
    • Avec un rDNS (reverse DNS)<\/strong> correspondant \u00e0 son hostname.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n

      Nommage et domaine<\/h3>\n\n\n\n
        \n
      • D\u00e9diez un domaine d’infrastructure<\/strong> pour vos serveurs DNS, par exemple :
        example.net<\/code><\/li>\n\n\n\n
      • D\u00e9clarez les glue records<\/strong> IPv4 et IPv6 aupr\u00e8s de votre registre de domaine<\/strong> :
        Exemple : ns1.example.net<\/code>, ns2.example.net<\/code>, ns3.example.net<\/code><\/li>\n\n\n\n
      • D\u00e9finissez ces glue records en tant que serveurs DNS de votre domaine.<\/li>\n<\/ul>\n\n\n\n

        Ces enregistrements sont indispensables pour que les r\u00e9solveurs DNS puissent joindre directement vos serveurs.<\/p>\n\n\n\n

        Installation sur le serveur slave DNS<\/h2>\n\n\n\n

        Exemple d\u2019installation pour Debian 12<\/strong>.<\/p>\n\n\n\n

        1. Installation de Bind9<\/h3>\n\n\n\n

        En root :<\/p>\n\n\n\n

        apt update && apt upgrade\napt install bind9 bind9-utils bind9-doc<\/code><\/pre>\n\n\n\n
        2. Configuration named (BIND9)<\/h3>\n\n\n\n
        \u00c9ditons le premier fichier de configuration :<\/p>\n\n\n\n
        nano \/etc\/bind\/named.conf.options<\/code><\/code><\/pre>\n\n\n\n
        options {\n    directory \"\/var\/cache\/bind\";\n\n    listen-on { any; };\n    listen-on-v6 { any; };\n\n    dnssec-validation auto; \/\/ default config\n    recursion no;                    \/\/ no resolver function\n    allow-query { any; };            \/\/ allow public DNS queries\n    allow-transfer { none; };        \/\/ no zone transfers to others\n    allow-new-zones yes;             \/\/ required for rndc addzone\n    auth-nxdomain no;                \/\/ RFC1035 compliance\n    version \"none\";                  \/\/ hide version info\n};<\/code><\/pre>\n\n\n\n
        3. Configurer le contr\u00f4le rndc<\/code><\/h3>\n\n\n\n
        Le protocole rndc permet d’autoriser l’acc\u00e8s de contr\u00f4le sur les slave DNS.<\/p>\n\n\n\n
        \u00c9ditez le second fichier de configuration :<\/p>\n\n\n\n
        nano \/etc\/bind\/named.conf.local<\/code><\/pre>\n\n\n\n
        Autorisez ici les IP de votre master DNS (serveur Plesk) :<\/p>\n\n\n\n
        controls {\n    inet * port 953 allow { IPv4_PLESK; IPv6_Plesk ; 127.0.0.1; };\n};<\/code><\/pre>\n\n\n\n
        4. Relever la cl\u00e9 rndc<\/code><\/h3>\n\n\n\n
        La cl\u00e9 est stock\u00e9e dans \/etc\/bind\/rndc.key<\/code>.<\/p>\n\n\n\n
        Affichez et notez la cl\u00e9, vous en aurez besoin pour la configuration c\u00f4t\u00e9 Plesk.<\/p>\n\n\n\n
        cat \/etc\/bind\/rndc.key<\/code><\/pre>\n\n\n\n
        key \"rndc-key\" {\n        algorithm hmac-md5;\n        secret \"xxxxxxxxxxxxxxxxxxxxxxxxx==\";\n};<\/code><\/pre>\n\n\n\n
        5. Red\u00e9marrer BIND (named)<\/h3>\n\n\n\n
        Red\u00e9marrons le service pour appliquer la config. V\u00e9rifions aussi que tout fonctionne normalement.<\/p>\n\n\n\n
        systemctl restart named\nrndc status<\/code><\/pre>\n\n\n\n
        R\u00e9p\u00e9tez cette op\u00e9ration pour chaque slave DNS.<\/p>\n\n\n\n
        Configuration c\u00f4t\u00e9 Plesk (serveur ma\u00eetre)<\/h2>\n\n\n\n
        1. Installer l\u2019extension Slave DNS Manager<\/strong><\/h3>\n\n\n\n
        Dans l\u2019interface Plesk :
        Extensions \u2192 Catalogue \u2192 Slave DNS Manager \u2192 Installer<\/strong><\/p>\n\n\n\n
        2. Ajouter vos serveurs slaves<\/h3>\n\n\n\n
        Ouvrez Outils & Param\u00e8tres \u2192 Extensions \u2192 Slave DNS Manager \u2192 Param\u00e8tres<\/strong><\/p>\n\n\n\n
        Ajoutez chaque serveur slave avec :<\/p>\n\n\n\n
          \n
        • Adresse IP<\/strong> : IPv4 du master (serveur Plesk)<\/li>\n\n\n\n
        • Adresse IP<\/strong> : IPv4 du serveur slave<\/li>\n\n\n\n
        • Port<\/strong> (RNDC) : 953<\/li>\n\n\n\n
        • Algorithme<\/strong> : hmac-sha256<\/li>\n\n\n\n
        • Cl\u00e9 secr\u00e8te<\/strong> : celle r\u00e9cup\u00e9r\u00e9e dans \/etc\/bind\/rndc.key<\/code><\/li>\n\n\n\n
        • Nom du serveur<\/strong> (optionnel) : ns1.example.net<\/code><\/li>\n<\/ul>\n\n\n\n
          L\u2019extension cr\u00e9era automatiquement une configuration locale pour rndc<\/code>.<\/p>\n\n\n\n
          3. Rafra\u00eechir et resync<\/h3>\n\n\n\n
          Sur la page d’accueil de gestion des Slave DNS de Plesk :<\/p>\n\n\n\n
            \n
          • Cliquez sur Rafra\u00eechir<\/strong><\/li>\n\n\n\n
          • Puis sur Resynchroniser<\/strong><\/li>\n<\/ul>\n\n\n\n
            Si tout est vert : alors la configuration est probablement bonne.<\/p>\n\n\n\n
            Fonctionnement<\/h2>\n\n\n\n
            D\u00e8s qu\u2019une zone DNS est :<\/p>\n\n\n\n
              \n
            • cr\u00e9\u00e9e,<\/li>\n\n\n\n
            • modifi\u00e9e,<\/li>\n\n\n\n
            • ou supprim\u00e9e<\/li>\n<\/ul>\n\n\n\n
              sur le serveur Plesk, le Slave DNS Manager envoie automatiquement les commandes suivantes \u00e0 chaque serveur slave :<\/p>\n\n\n\n
              Action<\/th>Commande ex\u00e9cut\u00e9e<\/th><\/tr><\/thead>
              Cr\u00e9ation<\/td>\/usr\/sbin\/rndc -c slave.config addzone example.com '{ type slave; file \"\/var\/lib\/bind\/example.com\"; masters { <IP_Plesk>; }; };'<\/code><\/td><\/tr>
              Mise \u00e0 jour<\/td>\/usr\/sbin\/rndc -c slave.config refresh example.com<\/code><\/td><\/tr>
              Suppression<\/td>\/usr\/sbin\/rndc -c slave.config delzone example.com<\/code><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
              \ud83e\uddf1 Structure d\u2019une zone DNS par d\u00e9faut<\/h2>\n\n\n\n
              Lorsqu\u2019un nouveau domaine est cr\u00e9\u00e9 sur le serveur, Plesk<\/strong> g\u00e9n\u00e8re automatiquement une zone DNS \u00e0 partir d\u2019un mod\u00e8le par d\u00e9faut.
              Ce mod\u00e8le peut (et doit) \u00eatre adapt\u00e9 \u00e0 votre infrastructure d\u2019h\u00e9bergement pour garantir coh\u00e9rence, s\u00e9curit\u00e9 et bon fonctionnement des services.<\/p>\n\n\n\n
              Chez LRob<\/strong>, la zone DNS par d\u00e9faut contient tous les enregistrements essentiels pour le web, le courrier \u00e9lectronique et la s\u00e9curit\u00e9 du domaine :<\/p>\n\n\n\n
              Enregistrement<\/th>Type<\/th>Valeur \/ Exemple<\/th>Description<\/th><\/tr><\/thead>
              <domain>.<\/code><\/td>A<\/strong><\/td><ip><\/code><\/td>Adresse IPv4 principale du site<\/td><\/tr>
              <domain>.<\/code><\/td>AAAA<\/strong><\/td><ipv6><\/code><\/td>Adresse IPv6 principale du site<\/td><\/tr>
              <domain>.<\/code><\/td>MX (10)<\/strong><\/td>mail.<domain>.<\/code><\/td>Serveur de messagerie du domaine<\/td><\/tr>
              <domain>.<\/code><\/td>TXT<\/strong><\/td>v=spf1 +mx include:_spf.lrob.net -all<\/code><\/td>Politique SPF autorisant les envois via LRob<\/td><\/tr>
              <domain>.<\/code><\/td>NS<\/strong><\/td><hostname>.<\/code><\/td>Serveur ma\u00eetre DNS (Plesk)<\/td><\/tr>
              <domain>.<\/code><\/td>CAA (issuewild)<\/strong><\/td>letsencrypt.org<\/code><\/td>Autorise Let\u2019s Encrypt \u00e0 \u00e9mettre des certificats<\/td><\/tr>
              <domain>.<\/code><\/td>TXT<\/strong><\/td>Hosted by portail.lrob.fr\/ | WordPress Security Expert<\/td>WordPress Security Expert`<\/td><\/tr>
              <domain>.<\/code><\/td>NS<\/strong><\/td>ns1.lrob.net.<\/code><\/td>Serveur DNS secondaire n\u00b01<\/td><\/tr>
              <domain>.<\/code><\/td>NS<\/strong><\/td>ns2.lrob.net.<\/code><\/td>Serveur DNS secondaire n\u00b02<\/td><\/tr>
              <domain>.<\/code><\/td>NS<\/strong><\/td>ns3.lrob.net.<\/code><\/td>Serveur DNS secondaire n\u00b03<\/td><\/tr>
              _dmarc.<domain>.<\/code><\/td>TXT<\/strong><\/td>v=DMARC1; p=reject; sp=reject; aspf=s; rua=mailto:dmarcreport@lrob.fr; ruf=mailto:dmarcreport@lrob.fr; rf=afrf; pct=100; ri=172800<\/code><\/td>Politique DMARC stricte pour l\u2019authentification des e-mails<\/td><\/tr>
              ftp.<domain>.<\/code><\/td>CNAME<\/strong><\/td><domain>.<\/code><\/td>Alias pour le FTP<\/td><\/tr>
              mail.<domain>.<\/code><\/td>A \/ AAAA<\/strong><\/td><ip><\/code> \/ <ipv6><\/code><\/td>Serveur de messagerie pointant vers l\u2019h\u00f4te principal<\/td><\/tr>
              webmail.<domain>.<\/code><\/td>CNAME<\/strong><\/td>mail.<domain>.<\/code><\/td>Alias pour acc\u00e9der au webmail<\/td><\/tr>
              www.<domain>.<\/code><\/td>CNAME<\/strong><\/td><domain>.<\/code><\/td>Alias pour le site principal<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
              Remarques<\/h3>\n\n\n\n
                \n
              • Cette configuration garantit la conformit\u00e9 SPF + DMARC<\/strong>, la redondance DNS<\/strong>, et la compatibilit\u00e9 Let\u2019s Encrypt<\/strong> gr\u00e2ce \u00e0 l\u2019enregistrement CAA<\/code>.<\/li>\n\n\n\n
              • L\u2019enregistrement TXT<\/code> \u201cHosted by LRob\u201d ajoute une touche d\u2019identification et de transparence.<\/li>\n\n\n\n
              • Les serveurs NS<\/code> doivent pointer vers vos serveurs DNS secondaires d\u00e9clar\u00e9s (glue records inclus).<\/li>\n<\/ul>\n\n\n\n
                \ud83d\udd0d Tests et validation<\/h2>\n\n\n\n
                V\u00e9rifier la r\u00e9solution externe<\/h3>\n\n\n\n
                Depuis n\u2019importe quel poste :<\/p>\n\n\n\n
                dig @ns1.example.net example.com\ndig @ns2.example.net example.com<\/code><\/pre>","protected":false},"excerpt":{"rendered":"
                L’objectif est de mettre en place un ou plusieurs serveurs DNS secondaires (slaves) synchronis\u00e9s automatiquement avec un serveur Plesk principal (master DNS).Cette architecture am\u00e9liore la r\u00e9silience, la rapidit\u00e9 de propagation DNS, la simplicit\u00e9, et la fiabilit\u00e9 globale de votre infrastructure d\u2019h\u00e9bergement. Cette proc\u00e9dure est appliqu\u00e9e lors de la souscription \u00e0 l’option de management des slave […]<\/p>\n","protected":false},"author":1,"featured_media":8877,"parent":8337,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-8388","page","type-page","status-publish","has-post-thumbnail","hentry"],"_links":{"self":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/pages\/8388","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/comments?post=8388"}],"version-history":[{"count":0,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/pages\/8388\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/pages\/8337"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/media\/8877"}],"wp:attachment":[{"href":"https:\/\/portail.lrob.fr\/en\/wp-json\/wp\/v2\/media?parent=8388"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}