Pourquoi auditer la santé DNS de votre domaine ?
Un domaine bien configuré répond vite et de façon prévisible. Quand la délégation au parent est exacte, que chaque serveur est joignable en IPv4 et IPv6, que le SOA est synchronisé et que les réglages sont propres, les pannes disparaissent.
Problèmes courants détectés par l'audit :
- Lame delegation → Un NS ne répond pas en autoritaire, causant des SERVFAIL intermittents
- Glue obsolète → L'IP du NS a changé mais le parent pointe encore vers l'ancienne adresse
- Écart parent/zone → Les NS déclarés diffèrent, créant des résolutions incohérentes
- TCP bloqué → Les réponses DNSSEC ou volumineuses sont tronquées
Comment utiliser l'audit DNS en 3 étapes
Étape 1 : Entrer le domaine
Saisissez votre nom de domaine dans le champ de recherche (exemple : captaindns.com). L'audit démarre automatiquement et interroge la chaîne complète de résolution.
Étape 2 : Analyser les résultats
Le rapport affiche :
- ❌ Erreurs (rouge) : Problèmes bloquants ou dégradant la résolution
- ⚠️ Avertissements (orange) : Améliorations recommandées
- ✅ Validé (vert) : Configuration correcte
Chaque élément inclut une explication et une action recommandée.
Étape 3 : Corriger les problèmes
Suivez les recommandations :
- Délégation → Corrigez chez le bureau d'enregistrement (registrar)
- Glue → Mettez à jour les IP des NS chez le registrar
- Zone → Corrigez les enregistrements NS dans votre serveur DNS
- TCP → Ouvrez le port 53 TCP dans vos pare-feux
Qu'analyse exactement l'audit DNS ?
Délégation et cohérence parent/zone
L'audit commence côté parent. Il lit la liste des NS publiée au registre et la compare avec les NS déclarés dans votre zone. Un écart = résolutions aléatoires.
| Vérification | Description |
|---|---|
| NS au parent | Liste des NS publiés chez le registrar |
| NS dans la zone | Liste des NS dans l'enregistrement NS de votre zone |
| Comparaison | Alerte si les deux listes diffèrent |
Glue records
Les glue sont des adresses IP publiées au parent. Elles sont nécessaires quand un NS est dans le domaine qu'il sert (ns1.captaindns.com pour captaindns.com).
Problèmes détectés :
- Glue manquant → La résolution boucle
- Glue obsolète → L'IP a changé, le parent pointe vers l'ancienne
Accessibilité des NS
Chaque serveur NS est testé :
- IPv4 : Réponse en UDP et TCP
- IPv6 : Réponse si AAAA présent
- Autorité : Le serveur répond-il en autoritaire ?
- Récursion : Doit être désactivée sur un autoritaire
SOA et synchronisation
Le SOA (Start of Authority) contient le serial et les temporisations. L'audit vérifie :
- Serial : Identique sur tous les NS (sinon un serveur est en retard)
- Refresh : Fréquence de vérification du primaire par les secondaires
- Retry : Délai avant nouvelle tentative après échec
- Expire : Durée avant abandon de la zone par un secondaire
DNSSEC (si activé)
Si votre domaine est signé, l'audit vérifie :
- DS au parent : Présence et correspondance avec les DNSKEY
- DNSKEY : Clés publiques dans la zone
- Signatures : Validité et non-expiration
Cas d'usage concrets
Cas 1 : Migration de fournisseur DNS
Avant la migration :
- Lancez l'audit, notez l'état actuel
- Réduisez les TTL des enregistrements critiques
Pendant la migration :
- Ajoutez les nouveaux NS
- Mettez à jour la délégation chez le registrar
- Déclarez les glue si vos NS sont dans votre domaine
Après la migration :
- Relancez l'audit
- Vérifiez que parent et zone sont alignés
- Confirmez que tous les NS répondent en autoritaire
Cas 2 : Résolutions intermittentes
Symptôme : Certains utilisateurs voient le site, d'autres ont des erreurs SERVFAIL aléatoires.
Diagnostic avec l'audit :
- Vérifiez la cohérence parent/zone
- Cherchez une lame delegation
- Comparez les serial SOA entre NS
Action : Corrigez l'écart identifié, resynchronisez les NS.
Cas 3 : Changement d'IP d'un NS
Symptôme : Après avoir changé l'IP d'un NS, une partie du trafic va au mauvais endroit.
Diagnostic avec l'audit :
- Vérifiez la glue au parent
- L'ancienne IP est peut-être encore publiée
Action : Mettez à jour la glue chez le registrar.
FAQ - Questions fréquentes
Q : Que vérifie exactement l'audit DNS ?
R : L'audit contrôle la cohérence entre le parent (registre) et la zone, vérifie que chaque NS répond en autoritaire, teste IPv4/IPv6, valide TCP, compare les serial SOA et détecte les lame delegations, glue obsolètes et problèmes DNSSEC.
Q : Qu'est-ce qu'une lame delegation ?
R : Une lame delegation se produit quand le parent pointe vers un serveur NS qui ne répond pas en autoritaire pour votre zone. Les résolveurs perdent du temps, parfois échouent avec SERVFAIL. Le terme vient de "lame" (boiteux) car le serveur ne peut pas servir la zone qu'on lui demande.
Q : Que sont les glue records ?
R : Les glue records sont des adresses IP publiées au niveau du parent (registre). Ils sont nécessaires quand votre NS est dans votre propre domaine (ex: ns1.captaindns.com pour captaindns.com). Sans eux, la résolution boucle car pour résoudre ns1.captaindns.com, il faudrait d'abord interroger... ns1.captaindns.com.
Q : Pourquoi vérifier la cohérence parent/zone ?
R : Si le parent et la zone déclarent des NS différents, les résolveurs suivent des chemins différents selon le cache. Certains utilisateurs voient une réponse, d'autres une autre, ou des erreurs intermittentes. Alignez toujours les deux.
Q : L'IPv6 est-il obligatoire ?
R : Non, mais fortement recommandé. De plus en plus de réseaux privilégient IPv6. Un NS sans AAAA peut être inaccessible pour certains visiteurs, robots d'indexation ou services cloud.
Outils complémentaires
| Outil | Utilité |
|---|---|
| DNS Lookup | Vérifier un enregistrement spécifique (A, MX, TXT, etc.) |
| Test de propagation | Suivre la diffusion d'un changement DNS |
| Inspecteur SPF | Vérifier l'authentification email |
| Testeur d'email | Tester SPF/DKIM/DMARC en conditions réelles |
Ressources utiles
- RFC 1034 - Domain Names Concepts (architecture DNS)
- RFC 1035 - Domain Names Implementation (spécification DNS)
- RFC 4033/4034/4035 - DNSSEC (sécurité DNS)
- ICANN - WHOIS Lookup (informations registrar)