> Pour moi la best practice sur un AD (car j'ai l'impression que c'est de cela > dont on parle) c'est : > 1 - partir d'un domaine "racine" publique (example.com), sinon ca va être > compliqué/impossible d'utiliser les produits Cloud de Microsoft > 2 - avoir des DNS pub en DMZ ou chez n'importe quel hébergeur ou vendeur de > domaines... idéalement sur des AS différents > 3 - avoir une zone interne, type corp.example.com pour ton AD et tes Linux, > etc... donc en IP privées > 4 - ne surtout pas avoir de copie de ta zone pub (example.com) sur ton DNS > interne sinon il faut faire les modifs sur tes DNS pub et sur ton DNS interne > 5 - si besoin d'un record dans corp.example.com en IP pub, côté Internet, > alors tu crées corp.example.com sur le DNS pub et tu crées uniquement le > record nécessaire > > Voilà, là c'est propre et safe...
Jusqu'au jour ou tu installes Lync/Skype For Business (ou son future nom quand un marketeux aura change d'avis) Ce machin oblige pour fonctionner d'avoir des enregistrements sur la zone racine example.com avec des contraintes a la con : - ceux qui doivent l'etre de l'extreieur et pas de l'interieur. - ceux qui doivent l'etre de l'interieur et pas de l'exterieur - ceux qui sont visible de l'intereiur et de l'exterieur mais avec des IPs differentes. Un enfer sans nom et qui casse le modele (notamment de la regle 4) Il devrait y avoir des lois contre ca. On a ete oblige d'introduire un split DNS rien que pr ca (et qui depuis n'a servi que pour ca) Youssef Ghorbal --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
