christophe.casale...@digital-network.net a écrit : >> Voilà ma petite expérience : >> - les dns ne devant pas tous se trouver sur le même AS, il faut >> logiquement en mettre un peu partout sur la toile pour la résilience >de >> votre infra dns > >Bonjour : remarque uniquement valable pour ceux qui disposent >d'infrastructures elles même réparties sur plusieurs AS. Aucun intérêt >pour les autres (si le réseau est HS, les dns ne répondront plus, pas >plus >que le reste de l'infrastructure).
Ça permet de ne pas avoir un NXDOMAIN à chaque mail par exemple. >> - en cas d'attaque dns, pouvoir isoler un serveur dns c'est utile >> - les backends mysql / psql sur bind on oublie, sur pdns c'est mieux >> mais la dépendance d'une architecture sql pleinement fonctionnelle >est >> trop forte surtout en cas de réplication géographique > >Je ne vois de toute manière pas l'intérêt d'utiliser des services >annexes >comme du SQL pour faire tourner du DNS, qui est un protocole "primaire" >qui fonctionne très bien sur la base de fichiers. > >> Juste pour ceux qui doutent encore de l'intérêt de mettre leurs dns >en >> dehors de leur AS et infra, quand votre infra est inaccessible, les >> clients qui ont leurs zones chez vous ne peuvent plus bosser (pas de >> mail, pas de connexion aux services autres que chez vous, ...) et en >10 >> ans j'en ai vu des infras isolées par coupure réseau (plusieurs >> transitaire d'un coup, migration réseau qui déconne, pb bgp, ...), >ddos >> rendant injoignable la plate-forme, piratage de serveur dns > >Remarque valable lorsque les clients ont des pointages externes. En >plus, >le dns est ce qu'il y a de quasiment le plus facile à sauvegarder / >répliquer, réinstaller. Je ne sais pas combien ici ont déjà eu une >infra >down à cause des DNS, mais c'est vraiment bien le seul soucis dont je >n'entends jamais parler en interne. > >Jusqu'à y a encore quelques années, le secondaire était d'ailleurs un >vieux céleri avec 256 Mo de RAM et il gérait plus 40.000 domaines sans >problèmes et sans charge. > >Pour les risques de compromission : utilisez 2 distribs et versions >différentes sur les primaire et secondaire + backup externe unique >vérouillé à chaque modification : ça marche très bien également. > >amicalement, _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
