Bon, je veux bien que j'ai autorisé le Master AD à updater, mais je
pensais qu'il ne le faisait qu'en mémoire ?
Parce que là, on a vite fait de se retrouver avec une situation de poule
et d'oeuf ! Où est l'original en cas de problème ? Quel fichier fait
autorité ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Masson
"Xav" == Xavier HUMBERT writes:
'Lut,
Xav> Bon, je veux bien que j'ai autorisé le Master AD à updater, mais Xav> je pensais qu'il ne le faisait qu'en mémoire ?
Faut croire que non ;)
Xav> Parce que là, on a vite fait de se retrouver avec une situation de Xav> poule et d'oeuf ! Où est l'original en cas de problème ? Quel Xav> fichier fait autorité ?
Ben, le probleme est la amha, tu as deux maitres sur la meme zone.
Ici, je tourne avec la conf suivante :
zone "_msdcs.interne.example.com" { type slave; file "_msdcs.interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "_sites.interne.example.com" { type slave; file "_sites.interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "_tcp.interne.example.com" { type slave; file "_tcp.interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "_udp.interne.example.com" { type slave; file "_udp.interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "interne.example.com" { type slave; file "interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "0.168.192.in-addr.arpa" { type slave; file "0.168.192.in-addr.arpa.zone"; masters { 192.168.0.1; }; };
zone "1.168.192.in-addr.arpa" { type slave; file "1.168.192.in-addr.arpa.zone"; masters { 192.168.0.1; }; };
zone "localhost" { type master; file "localhost.zone"; };
zone "0.0.127.in-addr.arpa" { type master; file "localhost.rev"; };
zone "0.in-addr.arpa" { type master; file "all-zero.zone"; };
zone "255.in-addr.arpa" { type master; file "all-one.zone"; };
Le dns du serveur AD est declare maitre sur les zones directes et reverse du domaine interne.example.com.
Hth
Eric
-- Bientôt, Apple ne va plus que fournir les plans sous microfilms coincés sur le proc : le but sera de les en déloger avant d'allumer la machine, sinon ça fond ! Comme à Fort Boyard... -+- SP in Guide du Macounet Pervers :The name is Bond, James Bond -+-
"Xav" == Xavier HUMBERT <xavier@injep.fr> writes:
'Lut,
Xav> Bon, je veux bien que j'ai autorisé le Master AD à updater, mais
Xav> je pensais qu'il ne le faisait qu'en mémoire ?
Faut croire que non ;)
Xav> Parce que là, on a vite fait de se retrouver avec une situation de
Xav> poule et d'oeuf ! Où est l'original en cas de problème ? Quel
Xav> fichier fait autorité ?
Ben, le probleme est la amha, tu as deux maitres sur la meme zone.
Ici, je tourne avec la conf suivante :
zone "_msdcs.interne.example.com" {
type slave;
file "_msdcs.interne.example.com.zone";
masters { 192.168.0.1; };
};
zone "_sites.interne.example.com" {
type slave;
file "_sites.interne.example.com.zone";
masters { 192.168.0.1; };
};
zone "_tcp.interne.example.com" {
type slave;
file "_tcp.interne.example.com.zone";
masters { 192.168.0.1; };
};
zone "_udp.interne.example.com" {
type slave;
file "_udp.interne.example.com.zone";
masters { 192.168.0.1; };
};
zone "interne.example.com" {
type slave;
file "interne.example.com.zone";
masters { 192.168.0.1; };
};
zone "0.168.192.in-addr.arpa" {
type slave;
file "0.168.192.in-addr.arpa.zone";
masters { 192.168.0.1; };
};
zone "1.168.192.in-addr.arpa" {
type slave;
file "1.168.192.in-addr.arpa.zone";
masters { 192.168.0.1; };
};
zone "localhost" {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" {
type master;
file "localhost.rev";
};
zone "0.in-addr.arpa" {
type master;
file "all-zero.zone";
};
zone "255.in-addr.arpa" {
type master;
file "all-one.zone";
};
Le dns du serveur AD est declare maitre sur les zones directes et
reverse du domaine interne.example.com.
Hth
Eric
--
Bientôt, Apple ne va plus que fournir les plans sous microfilms coincés
sur le proc : le but sera de les en déloger avant d'allumer la machine,
sinon ça fond ! Comme à Fort Boyard...
-+- SP in Guide du Macounet Pervers :The name is Bond, James Bond -+-
Xav> Bon, je veux bien que j'ai autorisé le Master AD à updater, mais Xav> je pensais qu'il ne le faisait qu'en mémoire ?
Faut croire que non ;)
Xav> Parce que là, on a vite fait de se retrouver avec une situation de Xav> poule et d'oeuf ! Où est l'original en cas de problème ? Quel Xav> fichier fait autorité ?
Ben, le probleme est la amha, tu as deux maitres sur la meme zone.
Ici, je tourne avec la conf suivante :
zone "_msdcs.interne.example.com" { type slave; file "_msdcs.interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "_sites.interne.example.com" { type slave; file "_sites.interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "_tcp.interne.example.com" { type slave; file "_tcp.interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "_udp.interne.example.com" { type slave; file "_udp.interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "interne.example.com" { type slave; file "interne.example.com.zone"; masters { 192.168.0.1; }; };
zone "0.168.192.in-addr.arpa" { type slave; file "0.168.192.in-addr.arpa.zone"; masters { 192.168.0.1; }; };
zone "1.168.192.in-addr.arpa" { type slave; file "1.168.192.in-addr.arpa.zone"; masters { 192.168.0.1; }; };
zone "localhost" { type master; file "localhost.zone"; };
zone "0.0.127.in-addr.arpa" { type master; file "localhost.rev"; };
zone "0.in-addr.arpa" { type master; file "all-zero.zone"; };
zone "255.in-addr.arpa" { type master; file "all-one.zone"; };
Le dns du serveur AD est declare maitre sur les zones directes et reverse du domaine interne.example.com.
Hth
Eric
-- Bientôt, Apple ne va plus que fournir les plans sous microfilms coincés sur le proc : le but sera de les en déloger avant d'allumer la machine, sinon ça fond ! Comme à Fort Boyard... -+- SP in Guide du Macounet Pervers :The name is Bond, James Bond -+-
xavier
Eric Masson wrote:
Ben, le probleme est la amha, tu as deux maitres sur la meme zone.
Non, non, je n'ai jamais donné le droit à AD d'être maitre. Juste d'updater la zone (pour l'empêcher de couiner, d'ailleurs, sinon, je m'en branle)
Le dns du serveur AD est declare maitre sur les zones directes et reverse du domaine interne.example.com.
Je ne suis pas fou au point d'avoir activé le serveur DNS de W2K.
D'ailleurs un DNS autoritaire dans le LAN, c'est d'une utilité relative, c'est bien pour ça que j'ai un BIND en DMZ (pour l'instant plusieurs instances de BIND 8, et bientôt une seule de BIND 9)
Je viens de parcourir le papier secure-ddsn-howto, ça a pas l'air de la tarte....
il n'y a pas une méthode simple pour dire à BIND "cette partie là du fichier ( les SOA, NS, MX, A des serveurs, CNAMES) tu n'y touches pas ?
Ou plus propremen ne l'autoriser à updater qu'un fichier inclus. Comme ça le fichier maître peut être read-only.
XAv
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Eric Masson <emss@free.fr> wrote:
Ben, le probleme est la amha, tu as deux maitres sur la meme zone.
Non, non, je n'ai jamais donné le droit à AD d'être maitre. Juste
d'updater la zone (pour l'empêcher de couiner, d'ailleurs, sinon, je
m'en branle)
Le dns du serveur AD est declare maitre sur les zones directes et
reverse du domaine interne.example.com.
Je ne suis pas fou au point d'avoir activé le serveur DNS de W2K.
D'ailleurs un DNS autoritaire dans le LAN, c'est d'une utilité relative,
c'est bien pour ça que j'ai un BIND en DMZ (pour l'instant plusieurs
instances de BIND 8, et bientôt une seule de BIND 9)
Je viens de parcourir le papier secure-ddsn-howto, ça a pas l'air de la
tarte....
il n'y a pas une méthode simple pour dire à BIND "cette partie là du
fichier ( les SOA, NS, MX, A des serveurs, CNAMES) tu n'y touches pas ?
Ou plus propremen ne l'autoriser à updater qu'un fichier inclus. Comme
ça le fichier maître peut être read-only.
XAv
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Ben, le probleme est la amha, tu as deux maitres sur la meme zone.
Non, non, je n'ai jamais donné le droit à AD d'être maitre. Juste d'updater la zone (pour l'empêcher de couiner, d'ailleurs, sinon, je m'en branle)
Le dns du serveur AD est declare maitre sur les zones directes et reverse du domaine interne.example.com.
Je ne suis pas fou au point d'avoir activé le serveur DNS de W2K.
D'ailleurs un DNS autoritaire dans le LAN, c'est d'une utilité relative, c'est bien pour ça que j'ai un BIND en DMZ (pour l'instant plusieurs instances de BIND 8, et bientôt une seule de BIND 9)
Je viens de parcourir le papier secure-ddsn-howto, ça a pas l'air de la tarte....
il n'y a pas une méthode simple pour dire à BIND "cette partie là du fichier ( les SOA, NS, MX, A des serveurs, CNAMES) tu n'y touches pas ?
Ou plus propremen ne l'autoriser à updater qu'un fichier inclus. Comme ça le fichier maître peut être read-only.
XAv
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Eric Masson
"Xav" == Xavier HUMBERT writes:
Xav> Non, non, je n'ai jamais donné le droit à AD d'être maitre. Juste Xav> d'updater la zone (pour l'empêcher de couiner, d'ailleurs, sinon, Xav> je m'en branle)
Xav> Je ne suis pas fou au point d'avoir activé le serveur DNS de W2K.
Ok, je commence a comprendre.
Ton 2k est-il pdc AD ? Si c'est le cas, iirc, pour la gestion du domaine ad, il a besoin d'enregistrements SRV qui sont par defaut colles dans les zones _mstcp et consorts.
Il a aussi besoin de pouvoir ajouter des hotes dans la zone principale du domaine (en cas de dhcp, donc si ce n'est pas le cas, tu devrais etre tranquille)
Tu peux tenter l'ajout des zones commencant par _ a ton bind et interdire la maj de la zone principale.
Xav> il n'y a pas une méthode simple pour dire à BIND "cette partie là Xav> du fichier ( les SOA, NS, MX, A des serveurs, CNAMES) tu n'y Xav> touches pas ?
Ben, je ne la connais pas :/
Eric
--
pourkoi faire ca c koi le but? je vois pas l interet c un forum libre ou tt le monde px s exprimer c pas mtnt kil faut reagir c ds les posts Au secours, mon ROT-13 ne marche plus :-((((
-+- PC in <http://www.le-gnu.net> : Neuneu decode à plein tube -+-
"Xav" == Xavier HUMBERT <xavier@injep.fr> writes:
Xav> Non, non, je n'ai jamais donné le droit à AD d'être maitre. Juste
Xav> d'updater la zone (pour l'empêcher de couiner, d'ailleurs, sinon,
Xav> je m'en branle)
Xav> Je ne suis pas fou au point d'avoir activé le serveur DNS de W2K.
Ok, je commence a comprendre.
Ton 2k est-il pdc AD ? Si c'est le cas, iirc, pour la gestion du domaine
ad, il a besoin d'enregistrements SRV qui sont par defaut colles dans
les zones _mstcp et consorts.
Il a aussi besoin de pouvoir ajouter des hotes dans la zone principale
du domaine (en cas de dhcp, donc si ce n'est pas le cas, tu devrais etre
tranquille)
Tu peux tenter l'ajout des zones commencant par _ a ton bind et
interdire la maj de la zone principale.
Xav> il n'y a pas une méthode simple pour dire à BIND "cette partie là
Xav> du fichier ( les SOA, NS, MX, A des serveurs, CNAMES) tu n'y
Xav> touches pas ?
Ben, je ne la connais pas :/
Eric
--
pourkoi faire ca c koi le but? je vois pas l interet c un forum libre
ou tt le monde px s exprimer c pas mtnt kil faut reagir c ds les posts
Au secours, mon ROT-13 ne marche plus :-((((
-+- PC in <http://www.le-gnu.net> : Neuneu decode à plein tube -+-
Xav> Non, non, je n'ai jamais donné le droit à AD d'être maitre. Juste Xav> d'updater la zone (pour l'empêcher de couiner, d'ailleurs, sinon, Xav> je m'en branle)
Xav> Je ne suis pas fou au point d'avoir activé le serveur DNS de W2K.
Ok, je commence a comprendre.
Ton 2k est-il pdc AD ? Si c'est le cas, iirc, pour la gestion du domaine ad, il a besoin d'enregistrements SRV qui sont par defaut colles dans les zones _mstcp et consorts.
Il a aussi besoin de pouvoir ajouter des hotes dans la zone principale du domaine (en cas de dhcp, donc si ce n'est pas le cas, tu devrais etre tranquille)
Tu peux tenter l'ajout des zones commencant par _ a ton bind et interdire la maj de la zone principale.
Xav> il n'y a pas une méthode simple pour dire à BIND "cette partie là Xav> du fichier ( les SOA, NS, MX, A des serveurs, CNAMES) tu n'y Xav> touches pas ?
Ben, je ne la connais pas :/
Eric
--
pourkoi faire ca c koi le but? je vois pas l interet c un forum libre ou tt le monde px s exprimer c pas mtnt kil faut reagir c ds les posts Au secours, mon ROT-13 ne marche plus :-((((
-+- PC in <http://www.le-gnu.net> : Neuneu decode à plein tube -+-
xavier
Michel Guillou wrote:
Et il tourne sur quel DNS, ton AD ?
Avec le BIND qui est en service depuis des années (mais à jour, bien sûr !)
D'ailleurs un DNS autoritaire dans le LAN, c'est d'une utilité relative
Si tu installes AD, c'est indispensable.
Ben oui, mais non. Mon but est de maintenir *un seul* BIND 9 pour tous les segments de réseau. C'est fait pour ça.
Comme mon AD ne me sert que de controleur de domaine, tout ça va riper vite fait pour mettre du LDAP standard (Open Directory sous MacOSX)
XAv -- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Michel Guillou <mg@neottia.net> wrote:
Et il tourne sur quel DNS, ton AD ?
Avec le BIND qui est en service depuis des années (mais à jour, bien
sûr !)
D'ailleurs un DNS autoritaire dans le LAN, c'est d'une utilité relative
Si tu installes AD, c'est indispensable.
Ben oui, mais non. Mon but est de maintenir *un seul* BIND 9 pour tous
les segments de réseau. C'est fait pour ça.
Comme mon AD ne me sert que de controleur de domaine, tout ça va riper
vite fait pour mettre du LDAP standard (Open Directory sous MacOSX)
XAv
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Avec le BIND qui est en service depuis des années (mais à jour, bien sûr !)
D'ailleurs un DNS autoritaire dans le LAN, c'est d'une utilité relative
Si tu installes AD, c'est indispensable.
Ben oui, mais non. Mon but est de maintenir *un seul* BIND 9 pour tous les segments de réseau. C'est fait pour ça.
Comme mon AD ne me sert que de controleur de domaine, tout ça va riper vite fait pour mettre du LDAP standard (Open Directory sous MacOSX)
XAv -- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
xavier
Eric Masson wrote:
Tu peux tenter l'ajout des zones commencant par _ a ton bind et interdire la maj de la zone principale.
Je crois que c'est ce que je vais faire.
Puisqu'il me les a gentiment dumpées sans que je demande rien ....
Du coup, si je ne me trompe pas, lorsque je vais avoir fini de mettre en place BIND9 + DHCP avec la MàJ dynamique, il va falloir faire des sous-domaines, de façon à ce que les zones publique et DMZ restent statiques. Je crois bien que c'est ce qui est recommandé dans le book de BIND9, d'ailleurs.
Vu que dans 4 jours, ils vont tous me tomber dessus avec leurs imprimantes qu'impriment pas, leurs docs Word qui s'ouvrent pas, leur mail qui fait prout, c'est pas gagné tout ça.
XAv - vais me relire "la journée d'un admin" de jdc, pour me remettre.
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Eric Masson <emss@free.fr> wrote:
Tu peux tenter l'ajout des zones commencant par _ a ton bind et
interdire la maj de la zone principale.
Je crois que c'est ce que je vais faire.
Puisqu'il me les a gentiment dumpées sans que je demande rien ....
Du coup, si je ne me trompe pas, lorsque je vais avoir fini de mettre en
place BIND9 + DHCP avec la MàJ dynamique, il va falloir faire des
sous-domaines, de façon à ce que les zones publique et DMZ restent
statiques. Je crois bien que c'est ce qui est recommandé dans le book de
BIND9, d'ailleurs.
Vu que dans 4 jours, ils vont tous me tomber dessus avec leurs
imprimantes qu'impriment pas, leurs docs Word qui s'ouvrent pas, leur
mail qui fait prout, c'est pas gagné tout ça.
XAv - vais me relire "la journée d'un admin" de jdc, pour me remettre.
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Tu peux tenter l'ajout des zones commencant par _ a ton bind et interdire la maj de la zone principale.
Je crois que c'est ce que je vais faire.
Puisqu'il me les a gentiment dumpées sans que je demande rien ....
Du coup, si je ne me trompe pas, lorsque je vais avoir fini de mettre en place BIND9 + DHCP avec la MàJ dynamique, il va falloir faire des sous-domaines, de façon à ce que les zones publique et DMZ restent statiques. Je crois bien que c'est ce qui est recommandé dans le book de BIND9, d'ailleurs.
Vu que dans 4 jours, ils vont tous me tomber dessus avec leurs imprimantes qu'impriment pas, leurs docs Word qui s'ouvrent pas, leur mail qui fait prout, c'est pas gagné tout ça.
XAv - vais me relire "la journée d'un admin" de jdc, pour me remettre.
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Eric Masson
"Xav" == Xavier HUMBERT writes:
Xav> Du coup, si je ne me trompe pas, lorsque je vais avoir fini de Xav> mettre en place BIND9 + DHCP avec la MàJ dynamique, il va falloir Xav> faire des sous-domaines, de façon à ce que les zones publique et Xav> DMZ restent statiques. Je crois bien que c'est ce qui est Xav> recommandé dans le book de BIND9, d'ailleurs.
C'est pour ma part ce que je ferais.
J'ai monte une conf de ce type (isc-dhcp+bind) en association avec un 2k en pdc AD et ca fonctionnait bien, modulo le hard de la machine qui hebergeait le dns sous FBSD5 qui a rendu l'ame, obligeant a un repassage en catastrophe sur le dns du 2k :/
A+
Eric
-- Je parlais au nom de tous les frjviens, ne joue pas au con... VOUS n'avez pas à détruire NOTRE ng. C'est clair comme ça ou il faut que je te l'explique avec des mots plus faciles encore ? -+- in <http://www.le-gnu.net> - Mon niouzegroup à moi ke G -+-
"Xav" == Xavier HUMBERT <xavier@injep.fr> writes:
Xav> Du coup, si je ne me trompe pas, lorsque je vais avoir fini de
Xav> mettre en place BIND9 + DHCP avec la MàJ dynamique, il va falloir
Xav> faire des sous-domaines, de façon à ce que les zones publique et
Xav> DMZ restent statiques. Je crois bien que c'est ce qui est
Xav> recommandé dans le book de BIND9, d'ailleurs.
C'est pour ma part ce que je ferais.
J'ai monte une conf de ce type (isc-dhcp+bind) en association avec un 2k
en pdc AD et ca fonctionnait bien, modulo le hard de la machine qui
hebergeait le dns sous FBSD5 qui a rendu l'ame, obligeant a un repassage
en catastrophe sur le dns du 2k :/
A+
Eric
--
Je parlais au nom de tous les frjviens, ne joue pas au con... VOUS
n'avez pas à détruire NOTRE ng. C'est clair comme ça ou il faut que je
te l'explique avec des mots plus faciles encore ?
-+- in <http://www.le-gnu.net> - Mon niouzegroup à moi ke G -+-
Xav> Du coup, si je ne me trompe pas, lorsque je vais avoir fini de Xav> mettre en place BIND9 + DHCP avec la MàJ dynamique, il va falloir Xav> faire des sous-domaines, de façon à ce que les zones publique et Xav> DMZ restent statiques. Je crois bien que c'est ce qui est Xav> recommandé dans le book de BIND9, d'ailleurs.
C'est pour ma part ce que je ferais.
J'ai monte une conf de ce type (isc-dhcp+bind) en association avec un 2k en pdc AD et ca fonctionnait bien, modulo le hard de la machine qui hebergeait le dns sous FBSD5 qui a rendu l'ame, obligeant a un repassage en catastrophe sur le dns du 2k :/
A+
Eric
-- Je parlais au nom de tous les frjviens, ne joue pas au con... VOUS n'avez pas à détruire NOTRE ng. C'est clair comme ça ou il faut que je te l'explique avec des mots plus faciles encore ? -+- in <http://www.le-gnu.net> - Mon niouzegroup à moi ke G -+-
Olivier Tharan
* Xavier HUMBERT (Thu, 26 Aug 2004 16:18:51 +0200):
Du coup, si je ne me trompe pas, lorsque je vais avoir fini de mettre en place BIND9 + DHCP avec la MàJ dynamique, il va falloir faire des sous-domaines, de façon à ce que les zones publique et DMZ restent statiques. Je crois bien que c'est ce qui est recommandé dans le book de BIND9, d'ailleurs.
Oui, et avoir les données maîtresses ailleurs, le fichier de zone de Bind étant généré ou copié par la méthode de ton choix (Makefile, pré-processeur, install(1), etc.), sans oublier la gestion de configuration (même RCS fait l'affaire).
-- olive
* Xavier HUMBERT <xavier@injep.fr> (Thu, 26 Aug 2004 16:18:51 +0200):
Du coup, si je ne me trompe pas, lorsque je vais avoir fini de mettre en
place BIND9 + DHCP avec la MàJ dynamique, il va falloir faire des
sous-domaines, de façon à ce que les zones publique et DMZ restent
statiques. Je crois bien que c'est ce qui est recommandé dans le book de
BIND9, d'ailleurs.
Oui, et avoir les données maîtresses ailleurs, le fichier de zone de
Bind étant généré ou copié par la méthode de ton choix (Makefile,
pré-processeur, install(1), etc.), sans oublier la gestion de
configuration (même RCS fait l'affaire).
* Xavier HUMBERT (Thu, 26 Aug 2004 16:18:51 +0200):
Du coup, si je ne me trompe pas, lorsque je vais avoir fini de mettre en place BIND9 + DHCP avec la MàJ dynamique, il va falloir faire des sous-domaines, de façon à ce que les zones publique et DMZ restent statiques. Je crois bien que c'est ce qui est recommandé dans le book de BIND9, d'ailleurs.
Oui, et avoir les données maîtresses ailleurs, le fichier de zone de Bind étant généré ou copié par la méthode de ton choix (Makefile, pré-processeur, install(1), etc.), sans oublier la gestion de configuration (même RCS fait l'affaire).
