Appliance DNS/DHCP - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 09-03-2010 à 19:25:08
les seules appliances DNS/DHCP que je connaisse sont les boitiers infoblox (et ils sont seuls sur ce marché).
Pour l'exploit tout se fait via la GUI et pour la maintenance ben c'est une appliance quoi
Marsh Posté le 09-03-2010 à 19:25:19
AD sans DNS MS c'est la merde je te préviens tout de suite ...
Marsh Posté le 09-03-2010 à 19:34:50
Il a quoi de spécial le DNS Crosoft ?
Marsh Posté le 09-03-2010 à 19:41:15
il stocke les zones dans l'AD permettant d'avoir une infra multimaitre à la place du maitre/esclave standard,
il utilise à fond tout ce qui est record SRV pour localiser les serveurs kerberos, dc, gc, ldap and co et donne au client le serveur le plus proche de lui (définit dans les sites AD)
il utilise aussi à fond tt ce qui est dynamic update et applique des ACL aux records (comme sur les fichiers) permettant de dire que tel ou tel compte a le droit de créer des records, les mettre à jour etc (par exemple ton record A de ta machine le owner sera le compte machine de ton poste)
il fait du aging/scavenging pour nettoyer les zones constamment
voilà rapidement.
Qd tu installes AD il t'installe directement le service DNS, c'est pour dire comment ils sont tightly related
Marsh Posté le 09-03-2010 à 19:48:48
ha tiens ça me fait au moins exemple de soft qui utilise les SRV alors
Marsh Posté le 09-03-2010 à 20:01:04
On a toute notre infra DNS en Infoblox et on était aussi assez sceptique au départ pour l'AD, et franchement ça ne pose aucun problème, c'est ultra simple à configurer et tout roule tout seul.
Tout est prévu au niveau de l'interface infoblox pour intégrer un AD. Pour les records spécifiques aux services de l'AD ça ne change rien qu'ils soient enregistrés sur un DNS MS ou un autre, dans le cas de l'Infoblox tout s'enregistre automatiquement lors du dcpromo.
Marsh Posté le 09-03-2010 à 20:08:08
ReplyMarsh Posté le 09-03-2010 à 20:18:10
Dans quel cas ça peut être important ?
Si je pose la question c'est parce qu'on ne se l'est jamais vraiment posée
C'est vrai qu'aujourd'hui on n'a pas beaucoup d'applis utilisant massivement l'AD (pas d'Exchange ou OCS par ex), maintenant même dans ce cas je vois pas trop ce qui pourrait coincer ou poser des limitations.
Marsh Posté le 09-03-2010 à 20:24:42
si n'importe qui peut mettre à jour le record d'un DC par exemple
Marsh Posté le 09-03-2010 à 20:30:20
Au niveau des dynamic updates il est possible de sécuriser avec le protocole TSIG
Marsh Posté le 09-03-2010 à 20:46:02
Dans notre cas les updates DNS sont effectuées par le service DHCP de l'infoblox, sauf pour les DC (qui forcément ne sont pas en DHCP) qui ont le droit d'updater directement (dans ce cas avec TSIG).
Mais on a aussi une authentification 802.1X pour les clients, donc la sécurisation des dynamic updates pour le dns au niveau client n'a jamais été une priorité.
Marsh Posté le 10-03-2010 à 13:11:00
merci pour vos feedbacks , j'ai regardé infoblox/bluecat/efficientIP et toutes les solutions offrent sensiblement les memes fonctions et un process de migration depuis DNS intégré AD . j'ai quand meme un peu l'impression de réinventer la roue.
J'espere que le cout d'integration des boites/formation des equipes permettra uen prise de conscience sur l'utilité relative de l'aventure.
Marsh Posté le 11-03-2010 à 00:39:54
Bonjour
la mise en place d'infoblox, ça peut être utile dans le cas de la redondance (ton AD est redondé?)
et aussi pour patcher une faille de sécurité DNS, avec infoblox c'est rapide.
Je ne suis pas spécialiste AD mais le DNS microsoft ça vaut pas une appliance infoblox où la gestion d'IP est plus claire.
Cdt,
Marsh Posté le 10-02-2015 à 20:20:42
schimble a écrit : On a toute notre infra DNS en Infoblox et on était aussi assez sceptique au départ pour l'AD, et franchement ça ne pose aucun problème, c'est ultra simple à configurer et tout roule tout seul. |
Ouai sauf que vous etes des inconscients. Infoblox ne supporte pas le multi-masters. Tu auras un master est des slaves sur lesquels tes PC ne peuvent pas s'enregistrer. Donc il y a qu'un seul DNS master qui peut etre mis a jours dans tout ton reseau !!! C'est du grand n'importe quoi ...
Marsh Posté le 10-02-2015 à 20:23:19
Je@nb a écrit : il stocke les zones dans l'AD permettant d'avoir une infra multimaitre à la place du maitre/esclave standard |
Maitre/esclave standard, c'est la limitation de Infoblox.
Marsh Posté le 10-02-2015 à 20:24:27
ericolliv43 a écrit : |
ericolliv43 a écrit : |
5 ans après j'ai des doutes que ça lui serve beaucoup
Sinon Infoblox en multi master https://www.infoblox.com/sites/info [...] er-dns.pdf
Marsh Posté le 10-02-2015 à 22:48:32
Ton DSI a l'air de bien se faire chier à son boulot visiblement...
Marsh Posté le 11-02-2015 à 09:33:06
Je@nb a écrit : |
Je trouve mon message utile si quelqu'un lit mon message et a l'idée saugrenue de remplacer son architecture multi-masters en master-slaves.
Citation : Sinon Infoblox en multi master https://www.infoblox.com/sites/info [...] er-dns.pdf |
Information interessante en effet. Tu as l'air bien renseigné sur Infoblox pour un modérateur.
Tu l'utilises?
Marsh Posté le 11-02-2015 à 09:44:45
Pas du tout mais 2sec de recherche google m'ont amené sur ce lien "infoblox multi master dns"
Marsh Posté le 20-11-2015 à 08:03:40
J'utilise INFOBLOX cette technologie semble très robuste pour ce qui concerne les services DNS DHCP NTP distribution HTTP avec possibilité de gérer sur un même GRID plusieurs architectures de services (plusieurs instances DHCP ou DNS). C'est la seule solution que je connaisse qui offre la possibilité de mettre les serveurs en cluster. La partie IPAM est moins développées que certains concurrents. La solution permet de faire du multimaster. Pas de plantage des boîtiers depuis plusieurs années de fonctionnement. Une administration centralisée pouvant être redondée. Une fois qu'on a configuré une interface reseau avec le nom et l'IP du GRID MASTER de rattachement d'appartenance et un mot de passe le boîtier est entièrement manager à partir du manager. Possibilité de disposer d'une interface reseau dédiée au management sur tous les membres du GRID. possibilité de piloter des serveurs Windows ou Linux/unis. Le support est trés réactif pour les MaJ en cas de failles ou de bugs. La solution est full IPv6.
Marsh Posté le 20-11-2015 à 10:39:26
J'ai en effet de bon retours de pas mal de grosses boites qui utilisent ça
Marsh Posté le 20-11-2015 à 11:09:33
Je@nb a écrit : moi ce qui me gène c'est que tout perds toute la gestion fine des droits |
Moi ce qui me gene c'est de rajouter un element dans un SI, le cout, l'exploitation, quel est l'interet ?
Marsh Posté le 20-11-2015 à 11:10:55
Proph@ne a écrit : |
Je me répond, oui peut-etre pour les grosses boites ou tout les services sont séparés.
Marsh Posté le 09-03-2010 à 19:09:31
hello
Notre DSI s'est mis en tete de degager nos serveurs DNS/DHCP windows 2003/2008 bien que nous soyons dans une archi full crosoft et que nous n'ayons aucun probleme depuis leur mise en place ...
du coup je me tourne vers bind et plus specialement des appliances s'appuyant sur bind pour remplacer notre 20 ene de serveurs DNS.
qqun a t'il un feedback sur ces appliances ?
il reste sinon la possibibilté de tout faire sur des serveurs centos+bind sauce open mais bon pour la gestion du changement et l'exploitation au jour le jour j'ai qd meme un doute sur la capacité des equipes à gerer sans transformer ça en jungle au bout d'un an.
++