Microsoft Active Directory, DNS versus BIND

Dans un environnement Microsoft Windows Active Directory, vous êtes parfois amenés à vous demander quelle solution en matière de mécanisme de résolution est la plus simple, efficace et fiable entre Microsoft DNS et BIND. Microsoft DNS versus BIND, comment s’y prendre ?

Dans mes différentes interventions, missions en tant qu’expert Active Directory, j’ai été à maintes reprises confronté à ce type de choix. Quoi implémenter exactement, puisqu’il fallait créer ou rationaliser l’existant. Quelle option prendre avec des solutions technologiques comme Efficient IP, Infoblox ou le DNS de Microsoft.

Choisir dans une telle situation engendre c’est architecturer, et il y a forcément des implications à tous les étages, surtout en partant vers un design spécifique du mécanisme DNS exotique vis-à-vis de Microsoft. Ce qui me vient à l’esprit concerne le support éditeur et l’escalade à titre d’exemple.

Dans un réseau hébergeant des progiciels Microsoft (Active Directory, Exchange, Lync …), le premier réflexe reste la tendance de déployer du  DNS Microsoft. C’est un élément principal de l’annuaire Active Directory et une solution Microsoft. Un mécanisme de résolution cohérent et fonctionnel est un prérequis.

Quelque part, architecturer toujours de la même façon n’a rien d’intéressant. Aussi, je pense que ce toujours déployer un DNS Microsoft n’est pas toujours une raison valable puisque l’architecture doit varier en fonction des situations.

Pour bien souligner mes propos, le choix instinctif de tout miser sur  Microsoft DNS peut parfois tendre vers une stratégie discutable, comme par exemple au sein d’une infrastructure hétérogène et avec une volumétrie importante.

La gestion et la configuration du DNS de Microsoft paraissent plis faciles et plus simples pour certains. Le produit est en effet très intuitif et c’est la raison du présent partage, car intuitif ne veut pas toujours dire simple.

Il y a ceux qui revendiquent que le BIND est plus sécurisé, moins intuitif évidement.

De par mon retour d’expérience (REX), il paraît possible de bâtir un serveur DNS sécurisé avec le Microsoft DNS, Efficient IP, Infoblox, BIND Core et autres. Contrairement aux failles de sécurité, les problématiques DNS sont la plupart du temps liées à des erreurs humaines en matière de configuration. Et les erreurs humaines peuvent survenir quelle que soit la solution technologique mise en œuvre in fine.

Bref, si vous avez les deux compétences Linux et Windows et avez le sens de l’organisation, vous serez sans doute de mon avis qui consiste à dire que finalement Microsoft DNS versus BIND, environnement Microsoft Active Directory, reste un vrai « faux débat ».

Ce dont on a besoin, même dans un environnement Microsoft Active Directory, est de résoudre des noms courts, qualifiés, services et ainsi de suite ; et, d’enregistrer dynamiquement (je pense en particulier aux phases critiques de création d’objets tels que DSA, NTDS Setting …).

La marque du mécanisme de résolution de noms n’a aucune importance, tant que l’implémentation et la résolution demeurent cohérentes. Jusqu’ici, mon REX n’a jamais soulevé aucun blocable dans un environnement Microsoft Active Directory adossé à du BIND.