hello  
 
Notre DSI s'est mis en tete de degager nos serveurs DNS/DHCP windows 2003/2008 bien que nous soyons dans une archi full crosoft et que nous n'ayons aucun probleme depuis leur mise en place ...
du coup je me tourne vers bind et plus specialement des appliances s'appuyant sur bind pour remplacer notre 20 ene de serveurs DNS.
qqun a t'il un feedback sur ces appliances ?
il reste sinon la possibibilté de tout faire sur des serveurs centos+bind sauce open mais bon pour la gestion du changement et l'exploitation au jour le jour j'ai qd meme un doute sur la capacité des equipes à gerer  sans transformer ça en jungle au bout d'un an.
 
++

les seules appliances DNS/DHCP que je connaisse sont les boitiers infoblox (et ils sont seuls sur ce marché).
 
Pour l'exploit tout se fait via la GUI et pour la maintenance ben c'est une appliance quoi

AD sans DNS MS c'est la merde je te préviens tout de suite ...

Il a quoi de spécial le DNS Crosoft ?    

il stocke les zones dans l'AD permettant d'avoir une infra multimaitre à la place du maitre/esclave standard,
 
il utilise à fond tout ce qui est record SRV pour localiser les serveurs kerberos, dc, gc, ldap and co et donne au client le serveur le plus proche de lui (définit dans les sites AD)
 
il utilise aussi à fond tt ce qui est dynamic update et applique des ACL aux records (comme sur les fichiers) permettant de dire que tel ou tel compte a le droit de créer des records, les mettre à jour etc (par exemple ton record A de ta machine le owner sera le compte machine de ton poste)
 
il fait du aging/scavenging pour nettoyer les zones constamment
 
 
voilà rapidement.
 
 
Qd tu installes AD il t'installe directement le service DNS, c'est pour dire comment ils sont tightly related

ha tiens ça me fait au moins exemple de soft qui utilise les SRV alors

On a toute notre infra DNS en Infoblox et on était aussi assez sceptique au départ pour l'AD, et franchement ça ne pose aucun problème, c'est ultra simple à configurer et tout roule tout seul.
Tout est prévu au niveau de l'interface infoblox pour intégrer un AD. Pour les records spécifiques aux services de l'AD ça ne change rien qu'ils soient enregistrés sur un DNS MS ou un autre, dans le cas de l'Infoblox tout s'enregistre automatiquement lors du dcpromo.

moi ce qui me gène c'est que tout perds toute la gestion fine des droits

Dans quel cas ça peut être important ?
Si je pose la question c'est parce qu'on ne se l'est jamais vraiment posée    
C'est vrai qu'aujourd'hui on n'a pas beaucoup d'applis utilisant massivement l'AD (pas d'Exchange ou OCS par ex), maintenant même dans ce cas je vois pas trop ce qui pourrait coincer ou poser des limitations.

si n'importe qui peut mettre à jour le record d'un DC par exemple

Au niveau des dynamic updates il est possible de sécuriser avec le protocole TSIG

ils le prennent en charge les clients ?

Dans notre cas les updates DNS sont effectuées par le service DHCP de l'infoblox, sauf pour les DC (qui forcément ne sont pas en DHCP) qui ont le droit d'updater directement (dans ce cas avec TSIG).
Mais on a aussi une authentification 802.1X pour les clients, donc la sécurisation des dynamic updates pour le dns au niveau client n'a jamais été une priorité.  

merci pour vos feedbacks , j'ai regardé infoblox/bluecat/efficientIP et toutes les solutions offrent sensiblement les memes fonctions et un process de migration depuis  DNS intégré AD .  j'ai quand meme un peu l'impression de réinventer la roue.
 
J'espere que le cout d'integration des boites/formation des equipes permettra uen prise de conscience sur l'utilité relative de l'aventure.

Bonjour
 
la mise en place d'infoblox, ça peut être utile dans le cas de la redondance (ton AD est redondé?)
et aussi pour patcher une faille de sécurité DNS, avec infoblox c'est rapide.
 
Je ne suis pas spécialiste AD mais le DNS microsoft ça vaut pas une appliance infoblox où la gestion d'IP est plus claire.
 
Cdt,

 
Ouai sauf que vous etes des inconscients. Infoblox ne supporte pas le multi-masters. Tu auras un master est des slaves sur lesquels tes PC ne peuvent pas s'enregistrer. Donc il y a qu'un seul DNS master qui peut etre mis a jours dans tout ton reseau !!! C'est du grand n'importe quoi ...

 
Maitre/esclave standard, c'est la limitation de Infoblox.

5 ans après j'ai des doutes que ça lui serve beaucoup
 
Sinon Infoblox en multi master https://www.infoblox.com/sites/info [...] er-dns.pdf

Ton DSI a l'air de bien se faire chier à son boulot visiblement...

 
Je trouve mon message utile si quelqu'un lit mon message et a l'idée saugrenue de remplacer son architecture multi-masters en master-slaves.
 

 
Information interessante en effet. Tu as l'air bien renseigné sur Infoblox pour un modérateur.
Tu l'utilises?

Pas du tout mais 2sec de recherche google m'ont amené sur ce lien "infoblox multi master dns"

J'utilise INFOBLOX cette technologie semble très robuste pour ce qui concerne les services DNS DHCP NTP distribution HTTP avec possibilité de gérer sur un même GRID plusieurs architectures de services (plusieurs instances DHCP ou DNS). C'est la seule solution que je connaisse qui offre la possibilité de mettre les serveurs en cluster. La partie IPAM est moins développées que certains concurrents. La solution permet de faire du multimaster. Pas de plantage des boîtiers depuis plusieurs années de fonctionnement. Une administration centralisée pouvant être  redondée. Une fois qu'on a configuré une interface reseau avec le nom et l'IP du GRID MASTER de rattachement  d'appartenance et un mot de passe le boîtier est entièrement manager à partir du manager. Possibilité de disposer d'une interface reseau dédiée au management sur tous les membres du GRID. possibilité de piloter des serveurs Windows ou Linux/unis. Le support est trés réactif pour les MaJ en cas de failles ou de bugs. La solution est full IPv6.

J'ai en effet de bon retours de pas mal de grosses boites qui utilisent ça

Moi ce qui me gene c'est de rajouter un element dans un SI, le cout, l'exploitation, quel est l'interet ?

Je me répond, oui peut-etre pour les grosses boites ou tout les services sont séparés.