1. Pourquoi créer une zone Split DNS
1.1. Introduction
Nous allons commencer par un exemple afin de vous montrer
quels problèmes peuvent se poser. Supposons que votre réseau interne
utilise comme zone DNS intégrée à Active Directory supinfo.com. Vous
accédez à tous les serveurs internes en utilisant le service DNS pour faire
la résolution des FQDN's (Full Qualified Domain Name). Vous avez aussi des serveurs
sur votre réseau interne qui sont accessible de l'extérieur via un mécanisme
de type Nat ou équivalent. Il parait évident que les utilisateurs internes et
externes doivent pouvoir accéder aux mêmes serveurs.
Si vous n'êtes pas dans une infrastructure split DNS, ce qui
est peut être le cas si vous lisez cet article, vous utilisez probablement une
seule zone DNS pour le domaine supinfo.com. Cela veut dire que tous les
enregistrements, aussi bien ceux pour les serveurs accessibles en interne et
que ceux accessibles en externe, sont enregistré sur la même zone. D'autre part,
vous rendez votre seul serveur DNS accessible sur Internet afin que les utilisateurs
externes puissent accéder aux serveurs que vous avez rendu accessible (via NAT,
ou publication dans ISA par exemple). Voici à quoi pourrait ressembler
un fichier de zone DNS de supinfo.com:
1.2. Processus en externe
www A 194.250.104.101
mail A 194.250.104.107
mailsrv A 192.168.129.12
campus A 192.168.129.11
1) Lorsqu'un client à l'extérieur du réseau de
supinfo veut atteindre un serveur, il a besoin de résoudre le nom mail.supinfo.com
en adresse IP publique sur votre firewall.
2) Le serveur DNS répond avec l'adresse IP correspondante
au firewall soit 194.250.104.107 pour le FQDN mail.supinfo.com.
3) le client externe se connecte sur cette adresse ip et accède
au serveur de mail de l'entreprise Supinfo.
Comme vous pouvez le constater, il n'y a aucun problème dans
ce cas de figure, vous allez voir plus loin dans ce chapitre où se situe le
problème d'une infrastructure non split dns.
1.3. Processus en interne
Malheureusement, comme nous utilisons qu'un seul serveur DNS,
les clients internes vont suivre le même processus, voyons ensemble le processus
en interne.
1) le client interne fait une requête DNS pour le FQDN
mail.supinfo.com
2) Le serveur DNS lui retourne la même IP que précédemment,
c'est à dire celle de l'interface externe du firewall soit 194.250.104.107
3) Le client interne fait donc une boucle à travers le firewall
pour revenir vers le serveur de courrier mail.supinfo.com
4) Transmission ou non de la requête par le firewall
Ce qui se passe dans l'étape 4 dépend du type de client
utilisé, si vous utilisez un client de type firewall ou Proxy la requête aboutira
avec succès; par contre si vous êtes dans une configuration de clients SecureNat
la requête n'aboutira pas. Vous comprenez que si vous utiliser ce type de configuration
vous allez rencontrer beaucoup de difficultés avec vos pc clients.
D'autre part, même si cette configuration fonctionne avec des
clients proxy ou firewall il est inutile de surcharger un firewall lorsque les
clients peuvent contacter les serveurs internes directement. Quelque soit le
cas de figure, ce type de configuration n'est pas raisonnable, que ce soit en
matière de performance que de sécurité (vos enregistrements internes sont interrogeables
sur Internet...).
 Introduction
1. Pourquoi créer une zone split DNS
2. Comment créer une zone split DNS
3. Exemple de configuration
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Configuration d'un Split DNS
