Appliance DNS/DHCP

Appliance DNS/DHCP - Infrastructures serveurs - Systèmes & Réseaux Pro

Marsh Posté le 09-03-2010 à 19:09:31    

hello :hello:  
 
Notre DSI s'est mis en tete de degager nos serveurs DNS/DHCP windows 2003/2008 bien que nous soyons dans une archi full crosoft et que nous n'ayons aucun probleme depuis leur mise en place ...
du coup je me tourne vers bind et plus specialement des appliances s'appuyant sur bind pour remplacer notre 20 ene de serveurs DNS.
qqun a t'il un feedback sur ces appliances ?
il reste sinon la possibibilté de tout faire sur des serveurs centos+bind sauce open mais bon pour la gestion du changement et l'exploitation au jour le jour j'ai qd meme un doute sur la capacité des equipes à gerer  sans transformer ça en jungle au bout d'un an.
 
++

Reply

Marsh Posté le 09-03-2010 à 19:09:31   

Reply

Marsh Posté le 09-03-2010 à 19:25:08    

les seules appliances DNS/DHCP que je connaisse sont les boitiers infoblox (et ils sont seuls sur ce marché).
 
Pour l'exploit tout se fait via la GUI et pour la maintenance ben c'est une appliance quoi :)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 09-03-2010 à 19:25:19    

AD sans DNS MS c'est la merde je te préviens tout de suite ...

Reply

Marsh Posté le 09-03-2010 à 19:34:50    

Il a quoi de spécial le DNS Crosoft ?  :??:  


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 09-03-2010 à 19:41:15    

il stocke les zones dans l'AD permettant d'avoir une infra multimaitre à la place du maitre/esclave standard,
 
il utilise à fond tout ce qui est record SRV pour localiser les serveurs kerberos, dc, gc, ldap and co et donne au client le serveur le plus proche de lui (définit dans les sites AD)
 
il utilise aussi à fond tt ce qui est dynamic update et applique des ACL aux records (comme sur les fichiers) permettant de dire que tel ou tel compte a le droit de créer des records, les mettre à jour etc (par exemple ton record A de ta machine le owner sera le compte machine de ton poste)
 
il fait du aging/scavenging pour nettoyer les zones constamment
 
 
voilà rapidement.
 
 
Qd tu installes AD il t'installe directement le service DNS, c'est pour dire comment ils sont tightly related

Reply

Marsh Posté le 09-03-2010 à 19:48:48    

ha tiens ça me fait au moins exemple de soft qui utilise les SRV alors :)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 09-03-2010 à 20:01:04    

On a toute notre infra DNS en Infoblox et on était aussi assez sceptique au départ pour l'AD, et franchement ça ne pose aucun problème, c'est ultra simple à configurer et tout roule tout seul.
Tout est prévu au niveau de l'interface infoblox pour intégrer un AD. Pour les records spécifiques aux services de l'AD ça ne change rien qu'ils soient enregistrés sur un DNS MS ou un autre, dans le cas de l'Infoblox tout s'enregistre automatiquement lors du dcpromo.

Reply

Marsh Posté le 09-03-2010 à 20:08:08    

moi ce qui me gène c'est que tout perds toute la gestion fine des droits :/

Reply

Marsh Posté le 09-03-2010 à 20:18:10    

Dans quel cas ça peut être important ?
Si je pose la question c'est parce qu'on ne se l'est jamais vraiment posée  :D  
C'est vrai qu'aujourd'hui on n'a pas beaucoup d'applis utilisant massivement l'AD (pas d'Exchange ou OCS par ex), maintenant même dans ce cas je vois pas trop ce qui pourrait coincer ou poser des limitations.


Message édité par schimble le 09-03-2010 à 20:51:22
Reply

Marsh Posté le 09-03-2010 à 20:24:42    

si n'importe qui peut mettre à jour le record d'un DC par exemple :/

Reply

Marsh Posté le 09-03-2010 à 20:24:42   

Reply

Marsh Posté le 09-03-2010 à 20:30:20    

Au niveau des dynamic updates il est possible de sécuriser avec le protocole TSIG

Reply

Marsh Posté le 09-03-2010 à 20:35:39    

ils le prennent en charge les clients ? :/

Reply

Marsh Posté le 09-03-2010 à 20:46:02    

Dans notre cas les updates DNS sont effectuées par le service DHCP de l'infoblox, sauf pour les DC (qui forcément ne sont pas en DHCP) qui ont le droit d'updater directement (dans ce cas avec TSIG).
Mais on a aussi une authentification 802.1X pour les clients, donc la sécurisation des dynamic updates pour le dns au niveau client n'a jamais été une priorité.  

Reply

Marsh Posté le 10-03-2010 à 13:11:00    

merci pour vos feedbacks , j'ai regardé infoblox/bluecat/efficientIP et toutes les solutions offrent sensiblement les memes fonctions et un process de migration depuis  DNS intégré AD .  j'ai quand meme un peu l'impression de réinventer la roue.
 
J'espere que le cout d'integration des boites/formation des equipes permettra uen prise de conscience sur l'utilité relative de l'aventure.

Reply

Marsh Posté le 11-03-2010 à 00:39:54    

Bonjour
 
la mise en place d'infoblox, ça peut être utile dans le cas de la redondance (ton AD est redondé?)
et aussi pour patcher une faille de sécurité DNS, avec infoblox c'est rapide.
 
Je ne suis pas spécialiste AD mais le DNS microsoft ça vaut pas une appliance infoblox où la gestion d'IP est plus claire.
 
Cdt,

Reply

Marsh Posté le 10-02-2015 à 20:20:42    

schimble a écrit :

On a toute notre infra DNS en Infoblox et on était aussi assez sceptique au départ pour l'AD, et franchement ça ne pose aucun problème, c'est ultra simple à configurer et tout roule tout seul.
Tout est prévu au niveau de l'interface infoblox pour intégrer un AD. Pour les records spécifiques aux services de l'AD ça ne change rien qu'ils soient enregistrés sur un DNS MS ou un autre, dans le cas de l'Infoblox tout s'enregistre automatiquement lors du dcpromo.


 
Ouai sauf que vous etes des inconscients. Infoblox ne supporte pas le multi-masters. Tu auras un master est des slaves sur lesquels tes PC ne peuvent pas s'enregistrer. Donc il y a qu'un seul DNS master qui peut etre mis a jours dans tout ton reseau !!! C'est du grand n'importe quoi ...

Reply

Marsh Posté le 10-02-2015 à 20:23:19    

Je@nb a écrit :

il stocke les zones dans l'AD permettant d'avoir une infra multimaitre à la place du maitre/esclave standard


 
Maitre/esclave standard, c'est la limitation de Infoblox.

Reply

Marsh Posté le 10-02-2015 à 20:24:27    

ericolliv43 a écrit :


 
Ouai sauf que vous etes des inconscients. Infoblox ne supporte pas le multi-masters. Tu auras un master est des slaves sur lesquels tes PC ne peuvent pas s'enregistrer. Donc il y a qu'un seul DNS master qui peut etre mis a jours dans tout ton reseau !!! C'est du grand n'importe quoi ...


 

ericolliv43 a écrit :


 
Maitre/esclave standard, c'est la limitation de Infoblox.


5 ans après j'ai des doutes que ça lui serve beaucoup :o
 
Sinon Infoblox en multi master :o https://www.infoblox.com/sites/info [...] er-dns.pdf

Reply

Marsh Posté le 10-02-2015 à 22:48:32    


Ton DSI a l'air de bien se faire chier à son boulot visiblement...

Reply

Marsh Posté le 11-02-2015 à 09:33:06    

Je@nb a écrit :


5 ans après j'ai des doutes que ça lui serve beaucoup :o


 
Je trouve mon message utile si quelqu'un lit mon message et a l'idée saugrenue de remplacer son architecture multi-masters en master-slaves.
 

Citation :

Sinon Infoblox en multi master :o https://www.infoblox.com/sites/info [...] er-dns.pdf


 
Information interessante en effet. Tu as l'air bien renseigné sur Infoblox pour un modérateur.
Tu l'utilises?

Reply

Marsh Posté le 11-02-2015 à 09:44:45    

Pas du tout mais 2sec de recherche google m'ont amené sur ce lien "infoblox multi master dns"

Reply

Marsh Posté le 20-11-2015 à 08:03:40    

J'utilise INFOBLOX cette technologie semble très robuste pour ce qui concerne les services DNS DHCP NTP distribution HTTP avec possibilité de gérer sur un même GRID plusieurs architectures de services (plusieurs instances DHCP ou DNS). C'est la seule solution que je connaisse qui offre la possibilité de mettre les serveurs en cluster. La partie IPAM est moins développées que certains concurrents. La solution permet de faire du multimaster. Pas de plantage des boîtiers depuis plusieurs années de fonctionnement. Une administration centralisée pouvant être  redondée. Une fois qu'on a configuré une interface reseau avec le nom et l'IP du GRID MASTER de rattachement  d'appartenance et un mot de passe le boîtier est entièrement manager à partir du manager. Possibilité de disposer d'une interface reseau dédiée au management sur tous les membres du GRID. possibilité de piloter des serveurs Windows ou Linux/unis. Le support est trés réactif pour les MaJ en cas de failles ou de bugs. La solution est full IPv6.

Reply

Marsh Posté le 20-11-2015 à 10:39:26    

J'ai en effet de bon retours de pas mal de grosses boites qui utilisent ça

Reply

Marsh Posté le 20-11-2015 à 11:09:33    

Je@nb a écrit :

moi ce qui me gène c'est que tout perds toute la gestion fine des droits :/


Moi ce qui me gene c'est de rajouter un element dans un SI, le cout, l'exploitation, quel est l'interet ?

Reply

Marsh Posté le 20-11-2015 à 11:10:55    

Proph@ne a écrit :


Moi ce qui me gene c'est de rajouter un element dans un SI, le cout, l'exploitation, quel est l'interet ?


Je me répond, oui peut-etre pour les grosses boites ou tout les services sont séparés.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed