Bonjour,
je voudrais  que  dans un subnet  mes  serveurs windows membre du domaine ne communiquent qu'avec mes 2  serveurs de domaine (rodc) qui sont dans sa zone.
 
explication
J'ai deux zones de sécurité  pour mes serveurs
DMZINTERNE
SERVEUR
une firewall entre les 2
 
j'ai 2 contrôleurs de domaine dans chaque zone  
sur la zone DMZinterne, c'est des controleurs en Read Only (RODC)
 
comment faire  pour que mes serveurs dans la zone DMZinterne n'utilisent que les RODC ?
 
Ce que j'ai fais :
mes serveurs windows de la zone DMZinterne ont comme DNS les RODC
j'ai mon site AD DMZinterne avec que mes 2 rodc
 
quand je fais un "nltest /dsgetdc:domain.com" j'ai bien mes rodc
quand je fais un nslookup .. c'est bien mes rodc qui répondent
 
mais sur mon firewall, je vois encore des flux entre mes serveurs  windows et les controleurs de domaine de la ZONE SERVEUR.
 
dans le reverse dns de ma zone ,en SOA et NS je n'ai que controleur de domaine de ma zone serveur. Aucun RODC. je ne sais pas si c'est normal ou non.
 

RODC ou pas, les DC font tous parti de la même zone de sécurité, le tiers 0 et doivent être isolés du reste des serveurs dmz ou pas.
Donc déjà niveau archi là t'es pas bon

approfondi "tiers 0"  
effectivement, on a une autre zone ou les serveurs ne sont pas sur le même segment  que le contrôleur de  domaine.
 
sur notre dmz interne, déplacer les serveurs ou les controleur de domaine et un temps que je n'ai pas.
entre le vouloir et le pouvoir...
sinon ne peut on pas indiquer  a un subnet de n'utiliser qu'un groupe de DC ?

Ici tu as toutes les recos : https://cyber.gouv.fr/publications/ [...] ant-sur-ad
Mais entre ouvrir les flux de la DMZ vers les DC en interne c'est plus rapide

Tu pourras pas vraiment de toute façon forcer tous les flux vers les RODC.
Tu peux déjà regarder ça https://blogs.msmvps.com/acefekay/2 [...] v-records/ pour comprendre le dc locator, peut être jouer avec le dns
https://servergurunow.wordpress.com [...] process-2/
https://blog.matrixpost.net/prevent [...] -ordering/

Après si les applications sont configurées en dur sans utiliser les enregistrements SRV (pour de l'auth LDAP) bah ça marchera pas

"Après si les applications sont configurées en dur sans utiliser les enregistrements SRV (pour de l'auth LDAP) bah ça marchera pas"
effectivement, c'est en cours

Ça me rappelle une expérimentation que j'ai faite il y a quelques temps : intégrer des postes legacy (2000/XP) à un domaine avec un WS2022 qui ne les supporte plus, en ajoutant un 2008 R2 en "proxy".
 
J'ai simplement mis une règle sur le FW interdisant toute communication avec le 2022. Les postes interrogeaient seulement le 2008R2 et tout fonctionnait parfaitement (login et applications des GPO). Mais je n'ai pas testé des cas plus complexes par contre.

 

 
C'est intéressant comme approche, mais dans ce cas, quid du niveaux fonctionnels de domaine et de forêt? Tu ne dépasses pas le 2008R2 alors, non?

Non ya rien d'intéressant, à ne surtout pas faire en environnement professionnel.

 
Oui, pas vraiment le choix...
 

 
Dans le cas de postes legacy je vois pas d'autres solutions (le login est impossible sinon). Mais c'est sûr que dans un environnement à jour, c'est assez crade et peut amener des soucis. Même si ça marche c'est à éviter.
 
Concernant le DC locator, il faut qu'il y ait des sites définis, non ? Les zones de sécurité ont été déclarées comme des sites ou pas ?
 
Sinon il faudrait réécrire les requêtes en fonction de l'IP source pour que chaque zone pointe en priorité sur son DC, mais ça je crois pas que le DNS windows soit capable de le faire. Il faudrait ajouter un bind au milieu.  
 

tu isoles ton environnement legacy à part et tu le connectes jamais à ton ad de prod.
Ton truc c'est une hérésie côté sécurité.
 
Les DNS windows font ça très bien, déjà j'en ai parlé du dns netmask ordering et si tu veux aller plus loin il y a les dns policy

 
J'avais expérimenté ça pour un membre du forum qui demandait ce genre de config, pour prouver que c'était faisable, après question sécu... à tes risques et périls  
 
La config que j'avais testée était quand même un minimum sécurisée : postes et DC isolés derrière un pare-feu, aucun accès au réseau, hormis pour le contact 2008 <--> 2022.
 

 
Yep, je viens de voir ça en ouvrant le 2nd lien que t'as posté, j'ai rien dit   J'ai confondu avec la RPZ. À force de bosser sous Linux... j'en oublie mes cours d'AD