[Admin-ml] Lion Server - Serveur DNS ne fonctionne pas

Yoann Gini yoann.gini at gmail.com
Mer 25 Jan 21:35:17 CET 2012


Le 25 janv. 2012 à 21:03, jlbailloeul a écrit :

> 
> Le 25 janv. 2012 à 19:26, Yoann Gini a écrit :
> 
>> 
>> Pour le coup, c’est crade d’avoir deux IP différents pour un serveur Internet je trouve. Un système de DMZ serait plus propre côté architecture réseau.
> nos serveurs n'ont qu'une IP, l'interne, c'est l'intérêt de notre configuration DNS.
> Je suis assez d'accord avec le principe de la DMZ, mais plutôt du point de vue de la sécurité.
> techniquement, cela suggère cependant de demander à mon FW de filtrer également tout le traffic de messagerie interne, et, de un, je suis pas sur qu'il serait d'accord, de deux côté performance, je ne suis pas sur que je serai d’accord.

Tout dépend la taille de l’infra. Une config idéale ressemble à ça :

LAN—[Router/FW(/NAT)]—DMZ—[Router/FW]—Internet
				|—Internet

Ou plus simplement :

LAN—[Router/FW(/NAT)]—DMZ—[Router/FW]—Internet

De cette manière tu as un gros FW en entrée qui protège tout puis un second plus petit qui filtre les redescende de la DMZ vers le LAN.

>> Mais reste qu’en terme logique, tout irtsnpdc.fr pour identifier un seul réseau c’est bancale. Qu’est-ce qu’il se passe lorsque tu ouvres un second site ?
> Ou est le problème ?

Ton premier site les machines seront en toto.irtsnpdc.fr alors que les suivants seront en toto.site.irtsnpdc.fr, ce n’est pas uniforme comme config… La logique ne se retrouve pas.

Si à Paris j’ai router.paris.irtsnpdc.fr je m’attends à avoir sur Marseille router.marseille.irtsnpdc.fr. C’est tout l’intérêt du DNS, fournir des conventions de nommage cohérentes sur un réseau.

Ce n’est pas du tout un problème fonctionnel, simplement logique.

>> Le DNS comme X.509 est des services prévus pour travailler à l’échelle mondiale et à mon sens il faut s’en servir comme tel même si on n’en a pas besoin pour le moment. Une société peut être appelée à grandir, si lorsqu’on a besoin de rajouter un nouveau site avec les mêmes services on perd l’uniformité du système de nom c’est un peu con…
> il n'est jamais trop tard pour ajouter un sous-domaine, on vient d'en créer un pour les étudiants.

C’est certain, voir plus haut pour la logique et l’uniformité :-)

>> Pas la peine de faire du loos.fr.irtsnpdc.fr, mais un simple loos.irtsnpdc.fr pour les ressources hébergées sur l’accès de Loos puis des CNAME sur le domaine global pour les services public. 
>> 
>> Genre www.irtsnpdc.fr CNAME de www.loos.irtsnpdc.fr, c’est cohérent, interne comme externe utilise www.irtsnpdc.fr, en interne tu n’as besoin de définir que loos.irtsnpdc.fr  puisque www.irtsnpdc.fr  est un CNAME, ta requête finira sur le serveur local donc avec les IP privés et ça roule.
>> 
>> Avec ça, tu gardes une possibilité logique de faire un accès type « Intranet » sur www.loos.irtsnpdc.fr  que les utilisateurs pourront comprendre facilement (bah oui, c’est le service internet de la société à loos, pas besoin de retenir un https://www.irtsnpdc.fr/private).
>> 
>> 
>> Enfin bref, le principal problème avec le DNS c’est que si ce n’est pas carré dès le début, on se paye des emmerdes lors des évolutions d’infra ^^
> Oui, je suis d'accord avec tout cela. 
> Mais cela ne simplifie pas notre structure DNS (je parle toujours de notre cas), cela la complexifie.
> Les utilisateurs ont déja du mal a retenir www.irtsnpdc.fr, voir leur adresse mail…

Ça la complexifie pour la vue des administrateurs oui. Tout est à ranger dans une case bien précise. Par contre, ça n’interdit pas d’utiliser la zone irtsnpdc.fr globale pour créer des alias pour les services d’usage courant.

Il faut juste distinguer les noms uniques des machines (en toute logique une seule entrée A par IP) et les alias qui irons avec pour simplifier la vie des utilisateurs.

Le nom unique d’un serveur sera srv1.loos.fr.irtsnpdc.fr par exemple et pour comporter comme alias www.irtsnpdc.fr et mail.irtsnpdc.fr. Par contre dans les entrées MX sera entré le nom unique et non les alias pour éviter les problèmes de tag en spam par exemple.

C’est vraiment une question de style et de manière de ranger les choses ici. Je suis pour un usage plus qu’abusif et précis du DNS pour nommer de manière unique chaque IP sur le réseau (et avec les reverse pour les log de sécu). Ensuite vient un usage de confort pour les utilisateurs où j’use du CNAME pour faire une entrée globale ou locale par service. data.loos.irtsnpdc.fr sera un CNAME multiple vers srv1.loos.irtsnpdc.fr et srv2.loos.irtsnpdc.fr ou vers loadbalancer1.loos.irtsnpdc.fr par exemple.


Plus d'informations sur la liste de diffusion Admin-ml