bonjour,
j'ai une question sur la redirection de zone
j'ai 2 domaines,
exemple  
mondomaine.fr : ceci 'c'est mon domaine ldap, j'ai des pc, serveur,...
moninternet.fr :  qui correspondant a des sites soit en reverse proxy soit sur internet
a la racine de mon domaine sur le service dns, j'ai un redirecteur avec des ip de dns public
 
exemple monappli.moninternet.fr a 192.168.10.4 en interne et 84.55.44.5 en externe
Pour cela j'ai créé sur mon dns AD des pinpoint dns. C'est a dire que la zone monappli1.moninternet.fr a été créé avec un enregistrement de type A vide avec l'adresse 192.168.10.4.
et sur mon hebergeur dns ovh sur le domaine moninternet.fr un enreg monappli1 avec comme ip 84.55.44.5
https://petri.com/create-a-pinpoint [...] amespaces/
 
je commence a avoir enormement de zone dns sur mon AD
n'est il pas possible de créé une zone moninternet.fr et y ajouter tous les enregistrements (monappli1, monappli2) et si le site n'est pas connu cela utilise les dns internet ?
je ne trouve pas le nom de ce type de fonctionnement
 
une idée ?
 merci

non, pas avec AD

Ce que tu cherches s’appelle une RPZ (Response Policy Zone). Théoriquement, windows server (depuis 2016) supporte quelques fonctionnalités, comme par exemple bloquer des noms de domaines (testé avec succès), par contre j'ai pas trouvé pour faire correspondre un record A. Faut que je lise un peu mieux la doc voir si c'est possible ou pas.

Ça fonctionne par contre très bien sous Linux avec bind9. Je m'en sers chez moi pour bloquer en grande quantité les noms de domaines (un pihole manuel quoi) ou pour faire pointer vers une autre adresse un domaine spécifique quand j'en ai besoin.

Sinon pourquoi ne pas simplement continuer à créer des pinpoint ? Ok c'est pas très propre mais ça fait exactement ce que tu veux : ne pas rendre le DNS autoritatif pour l’ensemble de la zone et ça revient au même qu'une RPZ de manière détournée.

Sinon le plus simple serait de monter une petite VM Linux avec bind et la RPZ et de forwarder les requêtes du windows server dessus : tu pourras faire tout ce que tu veux. Si t'es un peu motivé, en 30 min c'est fait.

merci pour le terme Response Policy Zone
pour un serveur different, je vais eviter.
et si cela ne fonctionne pas, je resterai avec mes pinpoint dns.

Après ce que tu peux faire c'est créer ta zone moninternet.fr sur ton AD et mettre tes entrées de tes pinpoints et bien penser à répliquer les entrées qui doivent utiliser des ip publiques.

+1 À défaut de (vraie) RPZ intégrée, c'est plus propre que les pinpoint seuls.
 
Pour le serveur Linux, ça ne change absolument rien côté windows si c'est ta crainte. Il agit comme un DNS public. Tu n'as rien à perdre à essayer.
 
Côté ressources, ça consomme aussi peanuts, tu peux faire une VM sur le serveur sans soucis (si t'es avec un hyperviseur c'est encore plus simple...). Le mien tourne sur un raspberry pi avec VPN et DHCP en sus : 200 Mo de RAM.

Non mais en entreprise c'est pas aussi simple hein, le serveur faut le gérer le monitorer, surtout un service critique comme le dns, faut le patcher, le hardener, gérer l'asset etc. Et il faut les compétences

Oui, je sais que c'est pas aussi simple. Après il faut être réaliste, le DNS de WS ne convient pas pour l'utilisation prévue, donc je propose une solution faite pour.

S'il n'y a pas les compétences pour gérer, il serait peut-être bon de se former, tu penses pas ?

Perso, dans ma formation, j'ai touché aussi bien à Windows que Linux et aujourd'hui je m'occupe des deux sans soucis. J'en fais aussi énormément à titre perso. Ça doit être pour ça que mon point de vue est biaisé, je me crois un peu trop à la maison à pouvoir déployer ce que je veux sur proxmox  

Si tu as beaucoup d'enregistrements tu peux opter pour du split brain plutôt que des pinpoint DNS, même si ce n'est pas top non plus.
Serveur DNS bricolé posé telle une verrue qu'on oublie, pire idée jamais.

Apres faire un domaine sur nos dns interne et ajouter manuellement les entrées de mon domaine public OVH... il y en a 200 entrées.. c'est compliqué
 
 
effectivement Je@nb et nebulios
comme vous le dite pour eviter un probléme d'affichage si c'est pour ajouter un nouveau spof et une usine a gaz... on va éviter  
je n'aime pas trop être appelé pendant mes vacances
 
Il faut que cela soit simple et facile a maintenir
 
au vu des solutions possible même si c'est pas trés beau je vais laisser mes 30 pinpoint dns

Ça se script aussi l'import de tes 200 records existants.
Puis pour la suite tu met en place un process (associé pareil pk pas d'un script) pour ajouter/modifier/supprimer un record a la fois sur ton dns ad et ta zone chez ovh avec au besoin des IP différentes

La meilleure solution reste la mise en place de stratégies DNS effectivement. Ça répond précisément à ce besoin, et de façon propre et scriptable : https://learn.microsoft.com/en-us/w [...] deployment

Je vois pas l'usage non