Bonjour, Pour ce type de cas on peut créer un record qui serait en fait une sous-zone du domaine principal, côté extérieur. Côté intérieur on est sur une sous-zone du même type que corp.example.com. Par ex : chat-and-co.example.com
Il n'y a aucun record dans cette sous zone sinon les records à la racine de celle-ci (. A IP). Ainsi on n'a pas besoin de recopier toute la zone racine (example.com) sur ton DNS interne... ==> problème résolu proprement February 10, 2019 2:15 AM, "Youssef Ghorbal" <youssef.ghor...@gmail.com> wrote: >> Pour moi la best practice sur un AD (car j'ai l'impression que c'est de cela >> dont on parle) c'est : >> 1 - partir d'un domaine "racine" publique (example.com), sinon ca va être >> compliqué/impossible >> d'utiliser les produits Cloud de Microsoft >> 2 - avoir des DNS pub en DMZ ou chez n'importe quel hébergeur ou vendeur de >> domaines... idéalement >> sur des AS différents >> 3 - avoir une zone interne, type corp.example.com pour ton AD et tes Linux, >> etc... donc en IP >> privées >> 4 - ne surtout pas avoir de copie de ta zone pub (example.com) sur ton DNS >> interne sinon il faut >> faire les modifs sur tes DNS pub et sur ton DNS interne >> 5 - si besoin d'un record dans corp.example.com en IP pub, côté Internet, >> alors tu crées >> corp.example.com sur le DNS pub et tu crées uniquement le record nécessaire >> >> Voilà, là c'est propre et safe... > > Jusqu'au jour ou tu installes Lync/Skype For Business (ou son future > nom quand un marketeux aura change d'avis) Ce machin oblige pour > fonctionner d'avoir des enregistrements sur la zone racine example.com > avec des contraintes a la con : > - ceux qui doivent l'etre de l'extreieur et pas de l'interieur. > - ceux qui doivent l'etre de l'interieur et pas de l'exterieur > - ceux qui sont visible de l'intereiur et de l'exterieur mais avec des > IPs differentes. > > Un enfer sans nom et qui casse le modele (notamment de la regle 4) Il > devrait y avoir des lois contre ca. > > On a ete oblige d'introduire un split DNS rien que pr ca (et qui > depuis n'a servi que pour ca) > > Youssef Ghorbal Cordialement, -- Philippe Bourcier web : http://sysctl.org/ blog : https://www.linkedin.com/today/author/philippebourcier --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
