RE: [FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Michel Py]

> Benjamin Cama a écrit :
> il devient impossible aux machines Apple et sous Linux de résoudre ce nom en 
> .local,

Justement c'est très bien, vu que ces machines n'ont pas Windows et donc 
qu'elles n'ont aucun besoin de résoudre le .local.
La preuve :
https://arneill-py.sacramento.ca.us
C'est un contrôleur de domaine Windows avec un domaine .local, et çà marche 
très bien avec le Macbook de ma femme, mon Hackintosh, Android, Linux, et 
Windows. En interne (RFC1918) et en externe à travers NAT avec l'adresse IP 
publique. Le .local, c'est pour AD. CQFD. 

Et puisqu'on est trolldi :


La configuration .local pour Microsoft, c'était déjà un état de fait bien avant 
RFC6762 et quand Apple en était encore à Appletalk, un protocole de merde 
inroutable.
Et parlons d'IOS. IOS, c'est Cisco, et c'était et ce qui fait toujours tourner 
l'Internet bien avant que les marketteux d'Apple aient décidé de nommer ce 
qu'ils vendent à Claude Michu iMachin et iGadget.
Les conneries pommesques et IETFesques qu'ils inventent dans leur tour 
d'ivoire, sans regarder autour d'eux, je m'en tamponne.


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Benjamin Cama]

Bonjour,

Le 2019-02-09 11:53, Stephane Bortzmeyer a écrit :

On Fri, Feb 08, 2019 at 07:17:56PM +,
 Michel Py  wrote
 a message of 29 lines which said:


Il y a des trucs que je fais depuis la nuit des temps, comme par
exemple d'utiliser .local pour les domaines Windows / Active
Directory, çà fait hurler les puristes du DNS mais çà a toujours
fonctionné très bien pour moi.


« Puriste », ce sont les gens qui veulent du travail bien fait ? Pas
le bricolage indémerdable qui plantera ton successeur quand il
essaiera de comprendre ce qui se passe ? Si c'est ça, je rejoins la
#teamPuriste.


Je me permets de rajouter que ça n'est pas simplement une histoire de 
puriste ou pas, mais de simplement *ne pas casser* le DNS !


Quand on configure un domaine d'entreprise avec AD en « .local », on 
*casse* la résolution mDNS. Cela a malheureusement été pendant longtemps 
une recommandation de Microsoft (cf. 
) et 
dans ce cas, il devient impossible aux machines Apple et sous Linux de 
résoudre ce nom en .local, puisque ce TLD indique (pour les OS qui 
respectent la RFC 6762) qu'il faut faire une résolution par mDNS et non 
par le resolver du réseau. Et même si Microsoft semble ne plus le 
recommander (j'ai pourtant vu des admins Windows encore le faire l'année 
dernière, malgré mes avertissements), notez qu'aujourd'hui ils 
continuent de casser son fonctionnement avec Windows 10 en *utilisant la 
résolution LLMNR pour l'extension .local* ! (je ne sais pas ce qu'il se 
passe quand ce nom est configuré comme domaine interne ; je suppose 
qu'il a une heuristique magique pour choisir par quelle résolution 
passer) Bref, toujours le même comportement de la part de MS de casser 
les standards pour mieux imposer le sien, avec le soutient indéfectible 
des administrateurs d'entreprise.


Après, comme critique de changer la méthode de résolution en fonction 
du TLD, on pourrait dire que ça ne passe pas à l'échelle si chacun se 
met à avoir son moyen spécifique : c'est ce qu'a décrit la RFC 8244, 
très bien commentée par Stéphane . 
Mais en attendant, le « .local » est une RFC couramment implémentée et 
utilisée (même les Chromecast l'utilisent aujourd'hui 
 à 
la place de conneries microsoftiennes comme UPnP précédemment), et le 
casser volontairement montre un certain… manque de professionnalisme.


--
Benjamin


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Philippe Bourcier]

Re,

> Pour tout ce qui est Microsoft/Skype/ADFS, Microsoft demande de faire du
> split DNS avec des serveurs proxy ADFS en DMZ pour le NDD principale.
> Ici, on sur-écrit notre zone DNS publique en interne mais chaque
> enregistrement est considéré comme une sous zone. Ainsi, si
> l'enregistrement n'existe pas en Interne, le poste va résoudre le DNS
> publique. C'est crade mais je ne vois pas trop d'alternative (sur du DNS
> Microsoft).

Oui, c'est bien ce que je décrivais... my bad si ce n'était pas clair :)

En tout cas, avec toutes ces infos, la question originale est, je pense, 
totalement couverte...

Si ça n'existe pas déjà, ça vaudrait presque le coup de faire un wiki avec ce 
type d'infos pour que les générations futures n'aient pas besoin de reposer la 
question... des gens motivés (=> PM) ?


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Baptiste Chappe]

Hello,

Pour tout ce qui est Microsoft/Skype/ADFS, Microsoft demande de faire du
split DNS avec des serveurs proxy ADFS en DMZ pour le NDD principale.
Ici, on sur-écrit notre zone DNS publique en interne mais chaque
enregistrement est considéré comme une sous zone. Ainsi, si
l'enregistrement n'existe pas en Interne, le poste va résoudre le DNS
publique. C'est crade mais je ne vois pas trop d'alternative (sur du DNS
Microsoft).

Je voyais mal les milliers d'utilisateurs utiliser un login :
us...@auth.hello.com pour envoyer en ger...@hello.com

Baptiste,

Le lun. 11 févr. 2019 à 10:59, Philippe Bourcier  a
écrit :

> Re,
>
> > Attention, Maitre Capello passe :
> >
> >> Il n'y a aucun record dans cette sous zone
> >
> > Dans ce cas, ce n'est pas une zone mais juste un domaine.
>
> Oui, un sous-domaine, autant pour moi.
>
> >> sinon les records à la racine de celle-ci (. A IP).
> >
> > L'apex, pas la racine (qui a un autre sens pour le DNS).
>
> Là tu m'apprends carrément un nouveau mot :)
> J'ai toujours entendu "racine du domaine" (qui est effectivement différent
> de domaine racine).
>
> >> Ainsi on n'a pas besoin de recopier toute la zone racine
> >> (example.com)
> >
> > Le suffixe public, pas la racine (qui a un autre sens pour le DNS).
>
> Ou plus simplement "tout le domaine" (voire "toute la zone")...
>
> Merci pour ce moment lexicologique :)
>
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Philippe Bourcier]

Re,

> Attention, Maitre Capello passe :
> 
>> Il n'y a aucun record dans cette sous zone
> 
> Dans ce cas, ce n'est pas une zone mais juste un domaine.

Oui, un sous-domaine, autant pour moi.

>> sinon les records à la racine de celle-ci (. A IP).
> 
> L'apex, pas la racine (qui a un autre sens pour le DNS).

Là tu m'apprends carrément un nouveau mot :)
J'ai toujours entendu "racine du domaine" (qui est effectivement différent de 
domaine racine).

>> Ainsi on n'a pas besoin de recopier toute la zone racine
>> (example.com)
> 
> Le suffixe public, pas la racine (qui a un autre sens pour le DNS).

Ou plus simplement "tout le domaine" (voire "toute la zone")...

Merci pour ce moment lexicologique :)


Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Stephane Bortzmeyer]

Attention, Maitre Capello passe :

On Mon, Feb 11, 2019 at 09:20:10AM +,
 Philippe Bourcier  wrote 
 a message of 66 lines which said:

> Il n'y a aucun record dans cette sous zone

Dans ce cas, ce n'est pas une zone mais juste un domaine.

> sinon les records à la racine de celle-ci (.   A   IP).

L'apex, pas la racine (qui a un autre sens pour le DNS).

> Ainsi on n'a pas besoin de recopier toute la zone racine
> (example.com)

Le suffixe public, pas la racine (qui a un autre sens pour le DNS).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Raphael Mazelier]

On 09/02/2019 11:53, Stephane Bortzmeyer wrote:


Un serveur de courrier en interne ? On est encore en 1995 ? De nos
jours, tout le monde (en tout cas toute la startup nation) a le
courrier sur Outlook ou sur Gmail.




En Saas oui.
De nos jours il faut vraiment challenger le fait de hoster ses services 
internes. Il peut y avoir de bonnes raisons (sécurité, prix) mais c'est 
tout de même assez difficile et coûteux à bien faire.


--
Raphael Mazelier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Stephane Bortzmeyer]

On Fri, Feb 08, 2019 at 07:17:56PM +,
 Michel Py  wrote 
 a message of 29 lines which said:

> Il y a des trucs que je fais depuis la nuit des temps, comme par
> exemple d'utiliser .local pour les domaines Windows / Active
> Directory, çà fait hurler les puristes du DNS mais çà a toujours
> fonctionné très bien pour moi.

« Puriste », ce sont les gens qui veulent du travail bien fait ? Pas
le bricolage indémerdable qui plantera ton successeur quand il
essaiera de comprendre ce qui se passe ? Si c'est ça, je rejoins la
#teamPuriste.

> Par exemple mail.maboite.fr ou chat.maboite.fr avec les portables et
> les mobiles, c'est bien pratique que çà résout de manière différente
> quand le portable/mobile est connecté au bureau sur le réseau
> interne ou quand il est sur cellulaire avec une IP publique.

Un serveur de courrier en interne ? On est encore en 1995 ? De nos
jours, tout le monde (en tout cas toute la startup nation) a le
courrier sur Outlook ou sur Gmail.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Stephane Bortzmeyer]

On Fri, Feb 08, 2019 at 06:06:45PM +0100,
 Raphael Mazelier  wrote 
 a message of 42 lines which said:

> Premier pattern/conseil : il est plus que vivement souhaitable
> d'utiliser un vrai domaine/sous domaine que tu possède pour de
> l'adressage interne.

Pas « plus que vivement souhaitable » : impératif, sauf si on déteste
son successeur et qu'on veut lui pourrir la vie quand, dans trois ans,
la boîte sera rachetée ou fusionnera ou quand le TLD sera délégué.

> Contre exemple (à ne faire pas donc) : corp.local, corp.lan (en
> admettant que ces TLD n'existent pas, ce qui est peut être faux).

.local existe et est réservé pour autre chose. .lan n'existe pas mais
pourrait être délégué dans deux, trois, quatre ans.

> En revanche je serais plus réservé sur le fait de résoudre deux
> choses différentes selon ta localisation réseau :
> 
> Exemple :
> service.corp.com => 1.2.3.4 (depuis internet)
> service.corp.com => 10.20.30.40 (depuis un réseau local)
> 
> C'est vite source d'ennui et de non clarté.

Oui, à l'époque du BYOD et du télétravail, ça devient vite difficile à
déboguer. (Sauf si on a des règles très strictes comme à l'ANSSI, avec
zéro BYOD et zéro télétravail.)

De toute façon, de nos jours, toutes les boites mettent toutes
les ressources internes sur le claoud états-unien, et se moquent du
RGPD, non ? Avoir des serveurs en internes, c'est pour les
plus de 50 ans.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [TECH] DNS adressage publique et privé d'un même domaine

[Stephane Bortzmeyer]

On Fri, Feb 08, 2019 at 05:33:27PM +0100,
 Paul Rolland (ポール・ロラン)  wrote 
 a message of 30 lines which said:

> Avec le systeme de vues, tu peux tout a fait avoir des zones qui n'ont pas
> le meme contenu, et qui ne presente donc pas les memes informations a des
> utilisateurs qui seraient internes ou externes.

Nul besoin d'utiliser les vues pour cela. Les vues, c'est spécifique à
BIND, c'est compliqué et c'est difficile à déboguer.

Ça avait un sens quand on avait peu de machines. De nos jours, avec
les VM, les containers et le Raspberry Pi comme serveur DNS, on n'a
plus besoin de mettre zones internes et externes sur la même adresse
IP.


---
Liste de diffusion du FRnOG
http://www.frnog.org/