У нас є основний домен нашої організації (з AD) example.com. Раніше попередні адміністратори створили кілька інших зон - таких як dmn.com, lab.example.com, dmn-geo.com тощо. - а також субдомени та делегати, всі з яких призначені для різних інженерних груп. Зараз наш DNS трохи заплутався. І, звичайно, це спричиняє проблеми, коли комусь на робочій станції в example.com необхідно підключитися до системи в будь-якій з цих інших зон / субдоменів, або навпаки (частково тому, що передача зон та делегування зони не налаштовані належним чином для більшості з них) .
Наше виробництво DNS інтегровано з Active Directory, але інженерні системи повинні бути ізольовані від AD.
Ми обговорюємо способи реорганізації DNS та консолідацію всіх цих різних записів. Я бачу три різні напрямки:
- Створіть нову зону, тобто 'dmn.eng'. Цим може управляти ІТ, використовуючи наші DNS-сервери або інженерно використовуючи їх сервери імен.
- Створіть новий делегат eng.example.com, консолідуйте інженерний DNS у цей піддомен та дозвольте інженерам керувати сервером імен для делегата.
- Створіть новий піддомен eng.example.com без делегування та керування DNS для піддомену самостійно.
Я віддаю перевагу створенню піддомену делегата та дозволу інженерам мати повний контроль над власною структурою DNS у межах цього піддомену. Перевага полягає в тому, що якщо їх DNS не працює, це, швидше за все, не моя вина;). Однак, все ще існує певна неоднозначність щодо відповідальності, коли щось не працює, і для створення, налаштування та адміністрування потрібна координація з інженерією.
Якщо ми не делегуємо субдомен, це означає набагато більше роботи для виробництва ІТ, що обробляє невиробничий DNS (що ми, по суті, вже багато робимо). Перевага полягає в тому, що ми маємо повний контроль над усіма DNS, і коли щось не працює, не виникає сумнівів у тому, чия відповідальність виправити. Ми також можемо додати делегатів, таких як geo.eng.example.com, щоб надати інженеру більшу гнучкість та контроль, коли вони цього потребують.
Я дійсно не впевнений у необхідності чи користі створення нової зони, dmn.eng.
То які найкращі практики та рекомендації в галузі для подібних ситуацій? Яке рішення було б найпростішим втілити та забезпечити безперешкодне вирішення імен між інженерією та виробництвом? Які можливі переваги або підводні камені кожного рішення, яке мені може бути відсутнім?
Щоб додати трохи більше інформації, ми досить велика компанія-виробник. Ці інженери працюють у галузі науково-дослідних, науково-дослідних, розробок та якості. Лабораторії часто мають власні підмережі або цілі мережі, DHCP тощо. Що стосується організації та технології, вони є свого роду своїм маленьким світом.
Ми хочемо зберегти певний рівень ізоляції мережі для інженерних лабораторій та мереж, щоб захистити наше виробниче середовище (посилайтесь на попереднє питання щодо інженерів, які додали інженерні сервери DHCP як авторитетні сервери AD DHCP - цього не може бути в змозі). Однак користувачеві на робочій станції в лабораторії потрібно буде отримати доступ до ресурсу в нашій виробничій мережі, або користувачеві на робочій станції в нашій виробничій мережі потрібно буде підключитися до лабораторної системи, і це відбувається з достатньою частотою для виправдання свого роду -об'єднаної DNS.
Існуючі делегати вже мають сервери DNS, якими керується інженерія, але немає зв'язку між інженерами в різних лабораторіях, де ці сервери налаштовані, тому найпоширенішою проблемою є невдале вирішення імен між субдоменами. Оскільки інженери володіють цими серверами-делегатами, я не можу виправити записи НС, щоб вони змусили їх спілкуватися один з одним - отже, перевага не делегованих DNS, які повністю належать ІТ. Але управління DNS для виробництва та інженерії - головний біль, тим більше, що інженерія може щодня змінювати DNS. Але як згадував у своїй відповіді BigHomie, це, ймовірно, означає, що інженеру доведеться найняти (або призначити) справжнього адміністратора DNS; і з цією людиною нам доведеться досить добре познайомитися.
Мені не обов'язково подобається ідея створити нову зону з довільним доменним іменем верхнього рівня або суфіксом, але у нас вже є 5 інших зон з довільними іменами, тому консолідація в одну є все ще вдосконаленням. Я знаю, що існують і інші компанії, які мають окремі зони верхнього рівня для різних груп в своїй організації, тому мені цікаво, коли це підходить і які переваги / недоліки такого підходу є.
FYI, я був у цій компанії лише кілька місяців, і попередній адміністратор AD / DNS покинув компанію, тому мені нічого не посилатися на те, чому існує будь-яка з існуючих структур DNS.
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.
Цей коментар змушує мене замислитись, чи, можливо, вам слід подумати про наявність окремого лісу AD для техніки.