Nom domaine DNS : xxxxxx.org pour toutes nos zones ou xxxxxxx.intra ET xxxxxx.org?

#1

Bonjour,

Bien qu’ayant fait mon choix je me pose la question par curiosité de savoir si oui ou non il est judicieux , secure et plus simple à maintenir d’avoir deux zones distincts (titre) pour notre DNS ou bien n’en gérer qu’une seule (xxxxxxx .org et basta) dans le cadre d’un hébergement unique ?

(cas notamment du lan et de la dmz avec les ns externes etc)

#2

Salut Steph,

je t’en ai déjà parlé, trop de complexité risque de te péter à la gueule un jour,
Simple et Automatisable doivent être les maîtres mots

Une zone .org et une zone .intra oui bien sûr que c’est pratique, les appels internes se font avec les noms de machines plutôt que des adresses IP, c’est une zone interne non visible sur le net…

La zone .org contient les services accessibles sur le net,

La zone intra facilite le travail interne, et même l’inventaire avec une requête axfr (encore faudrait-il que tu l’autorise…)

Mais j’ai peur (très peur même te connaissant :smiley: ) que tu ne parle d’un truc ou chaque adresse .org possède une adresse .intra dans un 1to1 diabolique qu’il faut tenir à jour… Rassures-moi stp

#3

salut J ! :wink:

Non j’ai pas fait le taré avec pleins de zones.
Je n’ai pas de 1to1 (un domaine herbergé pour une zone intra : faut pas deconner quand meme ! :rofl:)
Par contre je viens de “me prendre une remise en question” par stéphane Bortzmeyer, en général quand il parle DNS : on tends l’oreille , plutot deux fois qu’une … :innocent:

La crainte qu’il a émise c’est quand l’ICANN va autoriser les .intra .local etc …
On aura de gros soucis.
Moi “le mal” est fait j’ai ma zone “ilinux.fr” et “issoire-linux.org” (j’ai reservé ces 2 domaines) en externe (deux zones bind). Et deux zones internes : “ilinux.dmz51” et “ilinux.lan666”, donc rien de délirant.

Je me permets de rapporter ses dires (et le remercie au passage pour le temps pris à répondre):

doit-on, en 2019, continuer de créer une zone interne style
ilinux.lan et une zone DNS externe , elle exposée : ilinux.fr ?

Alors, une zone utilisant son propre TLD, surtout pas, en aucun
cas. C’est une bombe qui explosera N années plus tard, lorsque le TLD
en question sera délégué par l’ICANN et que tout un tas de trucs
déconneront tout à coup. (Même chose en cas de fusion/acquisition,
quoique ce soit plus rare pour des associations.)

J’entends tout et son contraire : personnellement je préfère deux
zones (comme ci-dessus) , mais certains disent : ils te faut une
seule zone DNS (interne comme externe) : ilinux.fr

Il y a donc deux choix possibles, ilinux.fr avec des vues différentes
selon qu’on est en interne ou en externe, ou bien un local.ilinux.fr
(ou lan ou prive).

Dans un monde de BYOD, de VPN, de gens qui utilisent un résolveur
« alternatif », il me semble que la première méthode est mauvaise,
menant à des problèmes qui seront difficiles à déboguer (« tu utilises
quel résolveur DNS ? » « Euh, c’est quoi, un résolveur DNS ? »)

Donc, plutôt local.ilinux.fr. Si on veut cacher les ressources
internes, les déléguer à des serveurs faisant autorité purement
internes.

#4

Han ! T’es vraiment trop fort :smiley: t’as réussi à complexifier dans un coin que j’attendais pas le “split horizon” :clap: :champagne: Bravo !

Le split horizon est pas simple car c’est exposer des info différentes en fonction de la source de la requête : c’est chaud dès que ça devient gros (et ton infra sent l’inflation à plein nez…)

Le coup de “oui mais le .local va être vendu par l’ICANN gnagnagna…” : non j’y crois vraiment pas, ils savent pertinemment que ça foutrait le zbeul, et puis c’est surtout qui veut acheter ça sachant que 30% des entreprises ne le verront pas car ils ne résoudront pas son domaine, mais le leur…

Car il est là le problème, ça va rien “casser”… ça va rendre invisible un truc que les autres voient…

J’ai bossé dans une boite cliente qui travaillait directement en interne avec les adresses IP 192.0.0.0/8

Ben à part ne pas pouvoir pinguer une université anglaise qui avait une partie de ces adresses réseaux, ça marchait très bien… Cette partie du réseau (~16 millions d’adresses) devient invisible pour les clients de ce réseau : c’est tout… Personne n’est redirigé vers eux…

Donc en interne rien ne t’empêche de travailler avec google.com résolu en local (bon Bortzmeyer sera pas content s’il se connecte sur ton réseau) mais ça ne va rien casser (peut être que tes outils google home marcheront moins bien :wink: )

#5

le split horizon … :rofl:
Les ingé AD de MS France m’ont sorti le Split DNS, y’a 2 jours.
Toi tu me sers le split horizon : non, moi je veux pas spliter , juste résoudre !"

“L’avantage” du DNs c’est que c’est bidouille land.
Perso je trouve mon truc simple : je change juste “les” (5) zones sur mon DNS master, dont une zone pour la DMZ et une autre pour le LAN, les trois autres : les domaines que j’heberge , qui y’a t-il de complexe ? (ou tordu)

Note : J , toujours des mots ou expressions venu d’une autre région, une autre planète , “le zbeul” , je note ! (EXCELENT !)

#6

Rien du tout comme tu dis c’est assez libre comme techno on fait ce qu’on veut…

Par contre le terme “split horizon” je l’invente pas : https://en.wikipedia.org/wiki/Split-horizon_DNS et c’est exactement ce que tu décris…

#7

ah ok , les view bind quoi !
moi c’est pas ça , c’est une zone par périmètre interne : simple quoi ! :wink: