Architecture DNS et Active Directory - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 18-12-2014 à 13:10:01
le nom AD ne doit pas etre connu de l'extérieur.
Au final c'est le même principe que pour un site web.
Un entreprise va avoir un nom de domaine alpha.prod si on veut et un site web www.masociete.com donc comme tu le vois les deux n'ont strictement rien à voir et il faut que ce soit la même chose.
C'est à dire que tu acheteras un nom de domaine public, qui pointera vers un serveur situé dans une DMZ de préférence et qui te redirigera vers le serveur voulu en interne ensuite à l'aide d'une authentification (certificat ou non).
Tu peux par exemple faire du VPN de cette manière (avec protection NPS) , ou alors, il faut faire du RDS avec remoteApp pour qu'ils puissent se connecter à l'appli depuis l'extérieur avec un rdweb et une passerelle dans la DMZ
Marsh Posté le 18-12-2014 à 13:58:36
1/ Oui, il est conseillé d'utiliser un nom de domaine dans un namespace globalement routable (donc pas d'alpha.prod comme dit matteu). Si possible un sous domaine d'un nom qui nous appartient comme corp.domaine.com ou ad.domaine.com ou int.domaine.com etc. Pour des raisons d'M&A, si le nom du domaine n'a pas le nom de la boite ça peut être pas mal.
2/ Tu ne publies pas cette zone dans le DNS public. La zone DNS reste interne. Si besoin d'avoir des services qui répondent avec le nom DNS en externe différent qu'en interne, tu fais du split-DNS sur tes différentes entrées.
3/ Tu publies tes services vers l'extérieur via des reverse proxy, firewall, vpn, remoteapp/rdweb+rdgateway etc. en utilisant un nom de service publiquement accessible. Les ACL, ou l'authentification sur le service restreignent les droits.
Marsh Posté le 18-12-2014 à 14:11:07
C est conseillé d avoir un domaine en .com ?
On m avait appris d éviter tout ce qui pouvait avoir les extensions des dns racines
Marsh Posté le 18-12-2014 à 14:44:48
A l'heure du cloud et des infrastructures hybrides oui il faut avoir des archis globalement uniques
Marsh Posté le 22-12-2014 à 10:11:21
Bonjour à tous,
Je m'excuse j'étais en week-end depuis jeudi midi.
Donc pour le choix du nom de domaine au nom de l'entreprise, y'a pas trop de soucis à ce niveau là parce qu'on est un site de e-commerce donc il ne risque certainement pas de changer (sinon ça voudrait dire la fin pour nous). Je vais donc bien partir dans un sous-domaine de notre domaine.com.
Ah effectivement je pensais à quelque chose fonctionnant à la reverse proxy mais j'arrivais plus à poser le nom dessus, merci pour ce rafraichissement de mémoire !
Donc si je comprend bien (désolé si ce n'est pas le cas) :
- J'installe mes 2 contrôleurs de domaine interne (ADDS) ayant pour nom int.domaine.com et contrôlant également la zone interne int.domaine.com (ce nom ne sera jamais donné publiquement)
- Dans le cas d'un serveur ayant le besoin d'avoir accès depuis l'externe comme redmine : Idéalement placé en DMZ et derrière un reverse proxy (on a plusieurs autres outils web aussi). Le tout est contrôlé par 2 nouveaux DNS externes placés également en DMZ et c'est ceux-ci qui sont déclarés publiquement.
Par contre j'ai un doute sur la zone externe contrôlée par les DNS en DMZ et utilisé pour le split-dns. J'ai vu pareil des choses qui m'ont embrouillé sur internet.
Je dois déclaré chez mon registrar dans un enregistrement publique NS mes DNS en DMZ ? Je dois leur donné le contrôle d'une zone appelé ext.domaine.com par exemple ?
Du coup si je comprend quand un prestataire veut accéder à Redmine :
- Redmine placé dans la DMZ derrière un reverse proxy et son nom est contrôlé par un DNS public aussi en DMZ.
- Un prestataire souhaite se connecter donc à redmine.ext.domaine.com. La résolution est faite par notre dns public (qui renvoie vers le reverse proxy qui lui fait l'échange).
Pour l'interne :
- Je déclare sur mes DNS de l'AD et pour l'ensemble de mes employés redmine.ext.domaine.com avec l'adresse ip local du reverse proxy en DMZ. (d'ailleurs est-ce qu'il faudrait dans ce cas là utiliser un redirecteur ?)
Aiiie ça y est ce n'est que 10h du matin et mon cerveau me déjà fait mal Pardon pardon à ceux qui me liront !
Bonne journée
Marsh Posté le 22-12-2014 à 10:46:29
Soit tu installes un dns public comme tu dis soit tu laisses ton registrar gérer ton dns public pour toi et tu te contentes d'ajouter l'enregistrement qui va bien.
Pour l'accès depuis l'interne soit tu accèdes directement à l'appli depuis l'interne via un autre nom soit via le même nom et dans ce cas soit tu y accèdes pareil que si tu étais dehors, reverse proxy and co, soit tu fais du split dns en déclarant sur tes dns interne l'ip interne du serveur ou reverse proxy.
Marsh Posté le 22-12-2014 à 11:37:07
Tu peux construire un simple domaine domaine.com plutôt que de partir sur du toto.domaine.com aussi
Marsh Posté le 18-12-2014 à 13:05:37
Bonjour encore une fois à tous,
Ce n'est pas la première question que je pose en ces temps-ci sur différents points concernant l'Active Directory. Promiiiiis, j'essaye beaucoup de me documenter avant de venir poser des questions ici ou trouver des livres à acheter traitant du sujet mais se sont bien souvent que des tutos ou de simples procédures de mises en place donc malheureusement ne répondant pas à mes questions de réflexions. Je m'excuse donc par avance !
Suite à une précédente question sur le choix de nom de domaine et différents lectures de différentes sources, je pense choisir un sous-domaine de notre domaine public entreprise.com (enregistré chez un registrar). Prenons par exemple, interne.entreprise.com
Mon architecture sera mono-forêt et mono-domaine donc dans ce cas là s'appelleront interne.entreprise.com. Ce domaine sera géré par 2 contrôleurs internes appelé DC1 et DC2 (sur le même site qui est unique) ayant tous 2 aussi le rôle de DNS.
Nous avons des outils en interne sur notre LAN (comme Redmine) accessible de l'extérieur par des prestataires. Jusqu'à maintenant, les prestataires connaissent notre ip publique et les accès sont filtrés par IP par notre routeur pfsense.
Je me posais la question si demain on héberge notre propre serveur mail ou justement dans ce cas plus précis de Redmine, comment je pourrais donner un nom DNS de machine aux prestataires plutôt que notre IP publique. C'est là que tout s'embrouille dans ma tête. Est-ce que je dois déclarer notre sous-domaine chez le registrar, faire pointer un champ NS vers un DNS qu'on gère en interne sur lequel se trouve l'enregistrement ? Est-ce que je donnerais le nom redmine.interne.entreprise.com comme adresse au prestataire ? Est-ce que c'est pas risqué que notre nom AD soit connu de l'extérieur ?
Mon responsable me dit que choisir également un sous-domaine avec un nom facile représente un plus grand risque de sécurité pour nous si quelqu'un essaye par un script de nous attaquer.
Je suis conscient que je suis à ma limite de mes connaissances en architecture de réseaux & systèmes. Un petit coup de pouce de quelqu'un ayant de l'expérience dans ce sujet serait très agréable
Merci beaucoup.
Bonne journée.