[DHCP/DNS] Administration sur un gros volume / ...

Administration sur un gros volume / ... [DHCP/DNS] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 26-01-2005 à 16:13:25    

Bonjour messieurs,
 
Ne sachant pas trop ou le placer, j'ai fait au mieux... merci de votre compréhension :hello:
 
Je travaille sur un projet de DHCP/DNS dynamique. Le but est de passer toute notre architecture actuelle ( 5000 postes ) en DHCP, et faire en sorte qu'ils s'incrivent dans un DNS automatiquement ( on veut plus de broadcast).
 
Les clients à migrer sont, pour la plupart, du Windows NT4 et du XP.
 
Je suis convaincu, personellement, de l'opportunité d'un serveur Unix/Linux pour ce type de projet, non pas pour une histoire de coût ( en effet, on a déjà un méga support Windows, mais aps de support Unix/linux, donc ca nous coutera quand même des $$$), mais dans un souci de robustesse et de disponibilité.
 
Seulement je me demandais ce qui existait en tant qu'outil d'administration.
 
En effet, je me souviens de ma seule installation de bind, des fichier arpa... et du merdier imbuvable et infame que cela générait.
 
Comme on aura des zones à priori à importer etc, je me demandais si il existait des solutions d'administration utiles pour gérer ce DHCP/DNS dynamique.
 
Merci pour vos suggestions :hello: N'hésitez pas si vous avez déjà fait ce genre de projet.
 
PS : quel est le meilleur choix, à votre avis, pour faire ce DHCP/DNS, le but étant juste que lorsqu'un poste chope une adresse IP le DNS soit mis à jour ?

Reply

Marsh Posté le 26-01-2005 à 16:13:25   

Reply

Marsh Posté le 26-01-2005 à 20:25:17    

tu peux utiliser webmin ou gdhcpd ( http://mange.dynup.net/linux.html ), il se peut qu'il existe d'autres outils bien meilleurs, a toi de chercher.
 
tu dois conf le serveur DHCP pour que celui-ci mette à jour les entrées DNS
 
http://isc.org/sw/dhcp/dhcp_rel.php
http://isc.org/sw/bind/FAQ.php
http://isc.org/sw/bind/contributions.php
http://us1.samba.org/samba/docs/ma [...] shcp-setup


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 29-01-2005 à 16:21:41    

euh, 5000 postes en dhcp, dis moi quand même que tu vas un petit peu organiser tout ça  [:totoz] parce que si tu sais pas où est telle ou telle machine  [:totoz]


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 18-02-2005 à 10:15:09    

farib a écrit :

euh, 5000 postes en dhcp, dis moi quand même que tu vas un petit peu organiser tout ça  [:totoz] parce que si tu sais pas où est telle ou telle machine  [:totoz]


 
Ne t'inquiète pas , on a une gestion de parc très carrée.
 
Je reviens sur ce sujet après pas mal de silence, le projet ayant été retardé pour des raisons lambda (autre projet devenu urgentissime).
 
Il faut à l'heure actuelle choisir, pour ce serveur d'architecture, entre un OS serveur type Windows 2003 ou Linux.  
 
On va devoir aussi trouver une solution d'administration aisée à la chose.
 
Si vous avez des liens sur :
-l'opportunité d'un OS win ou nux pour ce type de serveur ( avantages/incovénient... avec le + d'objectivité possible ^^ )
-La mise en place d'une telle migration ( conseils, expériences,...)
 
Je suis vraiment preneur :hello:
 
Merci :jap:

Reply

Marsh Posté le 18-02-2005 à 12:07:19    

L'objectivité, c'est raté, ici, tu prendras un unix avec un isc-dhcp-server.
 
Par contre, ça m'intéresserait de savoir selon quel critères tu voudras classifier les ip ( parce que si tout est aléatoire, ça risque d'être un beau bordel)


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 18-02-2005 à 14:55:38    

Sachant qu'on a un outil de reporting global vraiment bien foutu, t'inquiètes pas ;)
 
Tout est aléatoire dans un premier temps... on va ensuite mettre en place une brique ( une solution proprio qui a pas l'air mal) permettant d'associer une IP à l'utilisateur...
 
Bref, t'inquiètes po :D

Reply

Marsh Posté le 18-02-2005 à 15:07:04    

ah ?
 
tu peux m'en dire plus ?
"on va ensuite mettre en place une brique ( une solution proprio qui a pas l'air mal) permettant d'associer une IP à l'utilisateur... "


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 18-02-2005 à 16:01:37    

J'ai vu une solution de sécurisation qui me plait bien : celle ci repose sur l'installation d'un client sur tous les postes ( pas un problèe vu notre architecture) et lie l'attribution de l'adresse à l'authentification de l'utilisateur sur le domaine.
 
Ca permet une foultitude de trucs qui me semblent plus intelligents en terme de sécurité qu'une gestion d'adresse MACs...
 
Ce que j'ai retenu de la chose :
-s'interface avec un DNS/DHCP normalisé ( en gros, dhcpd/bind ou 2003 )
-repose sur l'install d'un client ( ompatible NT4, existe sous nux ) ( au lieu de gérer l'adresse MAC? indirectement, si le mec a pas l'client, il a pas d'IP? ca revient au même :D )
-s'interface avec le domaine NT
-s'appuie sur une BDD
-Attribue une IP en fonction des droits utilisateurs, permet de restreindre l'accès à certaines machines ( tu peux isoler des parties sensibles)
 
Je n'ai pas encore vu si ca s'appuyait sur du 802.1X... j'ai juste survolé le bordel. Il faut juste qu'on sécurise la chose, et ce type de solution me semble plus sympa qu'une liste d'adresse MAC...
 
Ca vaut réellement ce que ca vaut, j'ai juste eu une deux brochures sur la chose, et ca reste LARGEMENT à approfondir.... je te fournis ca tel quel, mais c'est une brique de sécurité du genre que j'aimerai apporter au système.
 
La solution est VitalQIP de Lucent.


Message édité par Tetedeiench le 18-02-2005 à 16:02:12
Reply

Marsh Posté le 18-02-2005 à 16:08:54    

ok, donc c'est bien ce que je pensais un minimum, faut un client spécial :)
 


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 18-02-2005 à 16:14:05    

farib a écrit :

ok, donc c'est bien ce que je pensais un minimum, faut un client spécial :)


Ca ne me pause pas trop de problème particulier vu notre structure personellement.
 
Je me posais une question sur le fonctionnement de l'architecture et le fonctionnement en cas de crash.
 
Admettons qu'on aie l'architeture suivante :
 
SRV1 ----------------- SRV2
DHCP                   DHCP sec.
DNS primaire           DNS sec.
 
SRV1 Tombe. SRV2 prends le relais. Un poste s'enregistre sur le SRV2. Est-ce que, sous nux, lorsque le srv1 remonte, il y a synchronisation entre les deux, de telle sorte que le bail DHCP soit reconnu et que le DNS soit quand même à jour et contienne le poste en question ?

Reply

Marsh Posté le 18-02-2005 à 16:14:05   

Reply

Marsh Posté le 18-02-2005 à 16:40:05    

Impressionnant, sur le web, on ne trouve rien qui en cause...  
 
même le site bind9 n'en parle pas...

Reply

Marsh Posté le 18-02-2005 à 17:37:22    

DHCP : failover dhcp. cf doc de dhcpd
 
DNS : mise en place d'un serveur DNS secondaire
 
serveur : Heartbeat ?


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 18-02-2005 à 17:59:58    

Je connais le DNS secondaire, mais je me demande si les MAj dynamiques effectuées sur le DNS secondaire sont répliquées sur le primaire lorsque le primaire revient...
 
ou si le primaire reprends la main et zou le secondaire perd toute MAJ :/

Reply

Marsh Posté le 18-02-2005 à 18:25:40    

un DNS secondaire ( slave ) n'a que la base en lecture ( i.e tu peux peut entrer d'adresse )


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 18-02-2005 à 18:28:43    

C'est bien ce que je pensais, merci pour la confirmation :jap:
 
Donc comment faire pour avoir une architecture DNS/DHCP dynamique sous linux totalement redondante, même si le maitre tombe ?


Message édité par Tetedeiench le 18-02-2005 à 18:29:04
Reply

Marsh Posté le 18-02-2005 à 18:57:25    

Perso, pour avoir un 2e serveur primaire de secours (ou on peut modifier la zone, donc) je m'orienterai vers Heartbeat ou une solution système similaire.
 
Mais vu que je suis pas encore admin, je dis peut etre une connerie ^^

Reply

Marsh Posté le 18-02-2005 à 19:20:31    

Heartbeat me semble de la grosse bidouille, et surtout, ne va guère nous convenir, vu qu'il fait un broadcast ARP...
 
Arrêtez moi si je dis une connerie, mais comme nous avons un réseau segmenté en VLAN, le broadcast ARP ne sera pas diffusé sur tous les postes... donc heartbeat n'est pas utilisable :/

Reply

Marsh Posté le 18-02-2005 à 19:38:08    

Huuum, sauf si le broadcast ne concerne que le serveur DHCP ... qui lui fait les mises à jour... c'est loin d'être con ! Ca n'a pas besoin d'être généralisé...
 
A tester... et pas qu'un peu... et c'est supporté par Redhat... hoho, vous venez de me filer une jolie brique...


Message édité par Tetedeiench le 18-02-2005 à 19:39:02
Reply

Marsh Posté le 18-02-2005 à 19:38:16    

Tetedeiench a écrit :

Je connais le DNS secondaire, mais je me demande si les MAj dynamiques effectuées sur le DNS secondaire sont répliquées sur le primaire lorsque le primaire revient...
 
ou si le primaire reprends la main et zou le secondaire perd toute MAJ :/


d'après mes vieux souvenirs d'admin syst. lorsque tu mets à jour une entrée dans le DNS, il faut incrémenter une valeur (le Serial) pour que l'autre DNS qui se synchronise puisse voir qu'il n'est pas à jour
 
c'est con je n'arrive plus à mettre la main sur le script que j'avais écri t en Perl pour gérer tout ca :/

Reply

Marsh Posté le 18-02-2005 à 19:40:23    

couak a écrit :

d'après mes vieux souvenirs d'admin syst. lorsque tu mets à jour une entrée dans le DNS, il faut incrémenter une valeur (le Serial) pour que l'autre DNS qui se synchronise puisse voir qu'il n'est pas à jour
 
c'est con je n'arrive plus à mettre la main sur le script que j'avais écri t en Perl pour gérer tout ca :/


 
Ca implique avoir deux primaires donc, nan ? vu qu'un DNS secondaire n'accepte pas de mises à jour dynamiques ( ou alors je me chie dessus :??: )

Reply

Marsh Posté le 18-02-2005 à 19:45:04    

Vas lire un peu par là le Iench ... ca te donnera ptet des idées  :o
http://www.djbdnsrocks.org/
 
EDIT : On rajoute ça   http://www.lifewithdjbdns.org/


Message édité par Zzozo le 18-02-2005 à 19:47:46
Reply

Marsh Posté le 19-02-2005 à 10:21:02    

Merci papy :hello:
 
Mais l'problème c'est que je n'ai pas trouvé d'architecture redondante totalement avec MAJ dynamique... ce qui n'est pas le cas des deux liens, si le maitre tombe, plus de MAJ dynamique :(

Reply

Marsh Posté le 19-02-2005 à 10:42:34    

on parle de dns ou de dhcp la ?


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 19-02-2005 à 11:33:33    

j'ai regardé dans différentes doc, et il ne semble pas il y avoir de doc parlant de la réplication de DNS master.
 
De toute façon la difficulté sera la synchronisation entre les maitres si tu peux updater 2 DNS en même temps ...
 
en gros 1 maître, des secondaires pour la redondance. le jour où le maitre tombe, tu n'as plus d'update dynamic et tu répares ton maître en 4ème vitesse.
 
IMHO en 10 minutes tu peux remettre sur pied un DNS sauf si tu as un pb matériel, etc ...
 
cependant tu peux toujours promouvoir un secondaire en tant que maître dans ce cas.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 19-02-2005 à 18:58:12    

Tetedeiench a écrit :

Merci papy :hello:
 
Mais l'problème c'est que je n'ai pas trouvé d'architecture redondante totalement avec MAJ dynamique... ce qui n'est pas le cas des deux liens, si le maitre tombe, plus de MAJ dynamique :(


Tu as mal lu alors, notamment pour le DNS ...
Dans l'un des liens, ils parlent de 2 DNS maitres avec une réplication via Rsync :o

Reply

Marsh Posté le 19-02-2005 à 23:11:32    

Dark_Schneider a écrit :

j'ai regardé dans différentes doc, et il ne semble pas il y avoir de doc parlant de la réplication de DNS master.
 
De toute façon la difficulté sera la synchronisation entre les maitres si tu peux updater 2 DNS en même temps ...
 
en gros 1 maître, des secondaires pour la redondance. le jour où le maitre tombe, tu n'as plus d'update dynamic et tu répares ton maître en 4ème vitesse.
 
IMHO en 10 minutes tu peux remettre sur pied un DNS sauf si tu as un pb matériel, etc ...
 
cependant tu peux toujours promouvoir un secondaire en tant que maître dans ce cas.


 
Yep, mais malheureusement, on ne peux même pas se permettre les 10 minutes... c'es trop risqué de prendre un "pari" comme ca...

Reply

Marsh Posté le 19-02-2005 à 23:12:00    

farib a écrit :

on parle de dns ou de dhcp la ?


 
Coté redondance, le DHCP pose pas de souci... le DNS dynamique, si :/

Reply

Marsh Posté le 19-02-2005 à 23:12:45    

Zzozo a écrit :

Tu as mal lu alors, notamment pour le DNS ...
Dans l'un des liens, ils parlent de 2 DNS maitres avec une réplication via Rsync :o


 
Si c'est le premier, ben...
 
djbdnsrocks.org latest news  
A major site renovation is under way. Please excuse the mess while this is in progress.  
 
:(
 
Page not found :(

Reply

Marsh Posté le 21-02-2005 à 10:50:06    

Zzozo a écrit :

Tu as mal lu alors, notamment pour le DNS ...
Dans l'un des liens, ils parlent de 2 DNS maitres avec une réplication via Rsync :o


Lequel papy je le trouve pas à part le page not found sur ton premier lien :/

Reply

Marsh Posté le 21-02-2005 à 11:02:16    

D'ailleurs, je suis en train de penser ... on a une baie de disque ultra redondante sauvegardée en raid 10000 gnagna... ( le truc ultra redondant quoi).
 
Et si on mettait les fichiers de zone des DNS dessus... avec un partage type NFS ( on m'a parlé de GFS). Ca permettrait d'avoir une soluce de backup intégrale et ultra robuste combinée avec heartbeat...
 
nan ?

Reply

Marsh Posté le 21-02-2005 à 11:08:11    

Tetedeiench a écrit :

D'ailleurs, je suis en train de penser ... on a une baie de disque ultra redondante sauvegardée en raid 10000 gnagna... ( le truc ultra redondant quoi).
 
Et si on mettait les fichiers de zone des DNS dessus... avec un partage type NFS ( on m'a parlé de GFS). Ca permettrait d'avoir une soluce de backup intégrale et ultra robuste combinée avec heartbeat...
 
nan ?


t'as pensé aux pbs de verrouillage ? :D
Un cluster, ca s'improvise pas :o
 
Sinon, y'a une question qui me turlupine là ... tes 5000 postes sont pas sur le même LAN ? oui/non ?


Message édité par Zzozo le 21-02-2005 à 11:08:29
Reply

Marsh Posté le 21-02-2005 à 11:18:53    

Zzozo a écrit :

t'as pensé aux pbs de verrouillage ? :D
Un cluster, ca s'improvise pas :o
 
Sinon, y'a une question qui me turlupine là ... tes 5000 postes sont pas sur le même LAN ? oui/non ?


 
On a un gros lan de 2500 postes, qui va être segmenté une fois que ce truc sera mis en place.
 
Concrètement, les serveurs DHCP/DNS seront dans un VLAN avec DHCP Relay. Donc le broadcast ARP heartbeat ne sera pas diffusé au delà de ce VLAN ;)
 
J'y ai déjà pensé.
 
GFS est fait pour les écritures concurrentes justement... moi ca me semble pas con comme idée, surtout que, dans le temps, un seul serveur DNS sera actif comme maitre ( jamais les deux en même temps ). En gros le second maitre tourne uniquement quand le premier est mort ( ce qui implique un heartbeat faisant, par exemple, une resolution DNS pour tester si le maitre va bien en plus du ping :D )
 
 

Reply

Marsh Posté le 21-02-2005 à 11:33:28    

Tetedeiench a écrit :

On a un gros lan de 2500 postes, qui va être segmenté une fois que ce truc sera mis en place.
 
Concrètement, les serveurs DHCP/DNS seront dans un VLAN avec DHCP Relay. Donc le broadcast ARP heartbeat ne sera pas diffusé au delà de ce VLAN ;)
 
J'y ai déjà pensé.
 
GFS est fait pour les écritures concurrentes justement... moi ca me semble pas con comme idée, surtout que, dans le temps, un seul serveur DNS sera actif comme maitre ( jamais les deux en même temps ). En gros le second maitre tourne uniquement quand le premier est mort ( ce qui implique un heartbeat faisant, par exemple, une resolution DNS pour tester si le maitre va bien en plus du ping :D )


Euh ... t'as pas saisi le "danger" visiblement ... :D

Reply

Marsh Posté le 21-02-2005 à 11:43:33    

Zzozo a écrit :

Euh ... t'as pas saisi le "danger" visiblement ... :D


Détaille, alors :heink: quel est le danger :??:
 
Si on fait une archi du genre :
 
VLAN admin : 2 serveurs maitres DNS ( 1 prod et 1 virtuel, via heartbeat + GFS )
VLAN postes ( * ) : 1 esclave DNS
 
On parle DNS, pas DHCP pour le moment...
 
Moi, coté charge en interconnection ca me semble pas lourd, et coté dispo, ca passe nickel :)


Message édité par Tetedeiench le 21-02-2005 à 11:45:46
Reply

Marsh Posté le 21-02-2005 à 11:49:08    

Ah, que le serveur DNS plante et foute en l'air le fichier de zone ?
 
Heu la, ouai effectivement, je gère pas ce cas là, m'enfin...

Reply

Marsh Posté le 21-02-2005 à 11:55:58    

Autre chose sur heartbeat : un truc que je ne comprends pas...
 
On a SRV1 et SRV2 en backup de ce dernier.
 
Imaginons que SRV1 plante ( et reboote par exemple ). SRV2 va prendre le relais pendant que SRV1 reboote. mais qui dit reboote, dit fatalement que SRV1 va se voir réaffecté son adresse IP... qui a été piquée par SRV2.
 
Comment heartbeat se comporte dans ce cas là ? Comment rend t'il la main ? Comment éviter le conflit d'adresse IP dans ce cas précis ?
 
PS : papy 'est fun de dire que j'ai aps saisi un truc, et de se barrer sans dire quoi ni même me laisser un indice [:ddr555] ;)


Message édité par Tetedeiench le 21-02-2005 à 11:56:27
Reply

Marsh Posté le 21-02-2005 à 12:06:57    

J'ai un autre truc sur le feu en même temps là spour ça que je suis moins réactif :D
 
Bon  sinon, le truc VITAL, c'est que un seul des deux DNS ait la main sur la "base" commune à tout moment ... et il suftit pas de le dire ... il faut le faire et prévoir un mécanisme (scripts, etc ... ske tu veux) qui fait que tu gères de façon FORCEE un DNS actif et un standby ... sinon, imagine que les deux commencent à modifier la "base" commune en même temps ... ca risque de faire mal ... :D   et cé pas une simple questiond de verrouillage de fichier par un qconque fs là  ... cé plus haut niveau :o

Reply

Marsh Posté le 21-02-2005 à 12:28:44    

T'as pensé à regarder un truc comme PowerDNS ?
J'ai cru comprendre que cété un peu moins performant qu'un djbdns  mais ptet que ca pourrait te convenir  ... surtout qu'il peut s'appuyer sur un SGBDR derrière  :o

Reply

Marsh Posté le 21-02-2005 à 14:43:10    

Zzozo a écrit :

J'ai un autre truc sur le feu en même temps là spour ça que je suis moins réactif :D
 
Bon  sinon, le truc VITAL, c'est que un seul des deux DNS ait la main sur la "base" commune à tout moment ... et il suftit pas de le dire ... il faut le faire et prévoir un mécanisme (scripts, etc ... ske tu veux) qui fait que tu gères de façon FORCEE un DNS actif et un standby ... sinon, imagine que les deux commencent à modifier la "base" commune en même temps ... ca risque de faire mal ... :D   et cé pas une simple questiond de verrouillage de fichier par un qconque fs là  ... cé plus haut niveau :o


 
C'est justement mon inconnue actuelle... je sais pas y répondre.
 
rsync m'ennuie car tu n'as pas de realtime du tout ( donc potentiellement on perdra des infos). Coté GFS, on a le realtime mais pas le reste...
 
Bref, c'est la mémerde. Je vais en causer un peu autour de moi...

Reply

Marsh Posté le 21-02-2005 à 15:01:06    

est ce grave si pendant 10 minutes tu ne peux mettre à jour tes entrées DNS ?
 
Je n'en suis pas si sûr ...
 
un DNS se doit avant tout d'être accessible pour donner l'IP d'un nom DNS. 1 DNS maître et des DNS secondaires pour la redondance conviennent tout à fait ( tu les mets dans la listes des serveurs DNS, tout comme le fait un FAI ).
 
Tu peux difficilement gérer plusieurs DNS maîtres pour la même zone car tu as un problème de cohérence des données. Si un logiciel doit gérer cette cohérence, la charge de ton réseau augmente car le logiciel doit discuter entre les différents maître pour valider les nouvelles entrées et vérifier les incohérences.
 
Cependant un DNS ne se met pas à jour toutes les 10 minutes. Normalement on met un DNS à jour :
- lorsque l'on ajoute un hôte au réseau ( ordi, imprimante, etc ... ) et que celui-ci n'était pas dans le DNS
- lorsqu'on utilise les mises à jours dynamique via DHCP du DNS et qu'un ordinateur est allumé sur le réseau ( et donc enregistré par le DNS )


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed