Чи повинна інженерія мати власну зону DNS, делегат або субдомен?


15

У нас є основний домен нашої організації (з AD) example.com. Раніше попередні адміністратори створили кілька інших зон - таких як dmn.com, lab.example.com, dmn-geo.com тощо. - а також субдомени та делегати, всі з яких призначені для різних інженерних груп. Зараз наш DNS трохи заплутався. І, звичайно, це спричиняє проблеми, коли комусь на робочій станції в example.com необхідно підключитися до системи в будь-якій з цих інших зон / субдоменів, або навпаки (частково тому, що передача зон та делегування зони не налаштовані належним чином для більшості з них) .

Наше виробництво DNS інтегровано з Active Directory, але інженерні системи повинні бути ізольовані від AD.

Ми обговорюємо способи реорганізації DNS та консолідацію всіх цих різних записів. Я бачу три різні напрямки:

  • Створіть нову зону, тобто 'dmn.eng'. Цим може управляти ІТ, використовуючи наші DNS-сервери або інженерно використовуючи їх сервери імен.
  • Створіть новий делегат eng.example.com, консолідуйте інженерний DNS у цей піддомен та дозвольте інженерам керувати сервером імен для делегата.
  • Створіть новий піддомен eng.example.com без делегування та керування DNS для піддомену самостійно.

Я віддаю перевагу створенню піддомену делегата та дозволу інженерам мати повний контроль над власною структурою DNS у межах цього піддомену. Перевага полягає в тому, що якщо їх DNS не працює, це, швидше за все, не моя вина;). Однак, все ще існує певна неоднозначність щодо відповідальності, коли щось не працює, і для створення, налаштування та адміністрування потрібна координація з інженерією.

Якщо ми не делегуємо субдомен, це означає набагато більше роботи для виробництва ІТ, що обробляє невиробничий DNS (що ми, по суті, вже багато робимо). Перевага полягає в тому, що ми маємо повний контроль над усіма DNS, і коли щось не працює, не виникає сумнівів у тому, чия відповідальність виправити. Ми також можемо додати делегатів, таких як geo.eng.example.com, щоб надати інженеру більшу гнучкість та контроль, коли вони цього потребують.

Я дійсно не впевнений у необхідності чи користі створення нової зони, dmn.eng.

То які найкращі практики та рекомендації в галузі для подібних ситуацій? Яке рішення було б найпростішим втілити та забезпечити безперешкодне вирішення імен між інженерією та виробництвом? Які можливі переваги або підводні камені кожного рішення, яке мені може бути відсутнім?


Щоб додати трохи більше інформації, ми досить велика компанія-виробник. Ці інженери працюють у галузі науково-дослідних, науково-дослідних, розробок та якості. Лабораторії часто мають власні підмережі або цілі мережі, DHCP тощо. Що стосується організації та технології, вони є свого роду своїм маленьким світом.

Ми хочемо зберегти певний рівень ізоляції мережі для інженерних лабораторій та мереж, щоб захистити наше виробниче середовище (посилайтесь на попереднє питання щодо інженерів, які додали інженерні сервери DHCP як авторитетні сервери AD DHCP - цього не може бути в змозі). Однак користувачеві на робочій станції в лабораторії потрібно буде отримати доступ до ресурсу в нашій виробничій мережі, або користувачеві на робочій станції в нашій виробничій мережі потрібно буде підключитися до лабораторної системи, і це відбувається з достатньою частотою для виправдання свого роду -об'єднаної DNS.

Існуючі делегати вже мають сервери DNS, якими керується інженерія, але немає зв'язку між інженерами в різних лабораторіях, де ці сервери налаштовані, тому найпоширенішою проблемою є невдале вирішення імен між субдоменами. Оскільки інженери володіють цими серверами-делегатами, я не можу виправити записи НС, щоб вони змусили їх спілкуватися один з одним - отже, перевага не делегованих DNS, які повністю належать ІТ. Але управління DNS для виробництва та інженерії - головний біль, тим більше, що інженерія може щодня змінювати DNS. Але як згадував у своїй відповіді BigHomie, це, ймовірно, означає, що інженеру доведеться найняти (або призначити) справжнього адміністратора DNS; і з цією людиною нам доведеться досить добре познайомитися.

Мені не обов'язково подобається ідея створити нову зону з довільним доменним іменем верхнього рівня або суфіксом, але у нас вже є 5 інших зон з довільними іменами, тому консолідація в одну є все ще вдосконаленням. Я знаю, що існують і інші компанії, які мають окремі зони верхнього рівня для різних груп в своїй організації, тому мені цікаво, коли це підходить і які переваги / недоліки такого підходу є.

FYI, я був у цій компанії лише кілька місяців, і попередній адміністратор AD / DNS покинув компанію, тому мені нічого не посилатися на те, чому існує будь-яка з існуючих структур DNS.


Оновлена ​​відповідь на основі додаткової інформації.
MDMoore313

1
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.Цей коментар змушує мене замислитись, чи, можливо, вам слід подумати про наявність окремого лісу AD для техніки.
HopelessN00b

2
@ HopelessN00b це було щось, про що ми говорили. Я хочу цього уникнути, тому що вчетверо виникає питання "Хто ним керує?" і звичайно, інженерія хоче всього контролю та гнучкості, але жодної відповідальності - "Давайте ми керуємо нею, поки вона не зламається, тоді ви виправите це".
Томас

Відповіді:


14

У сучасному світі я не рекомендую створювати нові зони з довільними доменами верхнього рівня , оскільки вони можуть перетворити його на "офіційний dns" в будь-який момент часу.

Я особисто віддаю перевагу сценарію делегування субдомену, оскільки він, здається, відповідає тому, що ви намагаєтеся зробити. (Консолідуйте, але надайте контроль техніці)

Можливо, ви навіть можете знайти веб-інтерфейс для MS DNS, де інженерія могла б додавати / видаляти записи, так що сам сервер все ще належить виробничим ІТ, і єдине, чим вони керують, - це записи DNS.


14

Перш за все, переконайтеся , що ви володієте в domain.tld ви плануєте використовувати (mit.edu). Навіть якщо це ніколи не підключається до Інтернету, це не в цьому справа.

Існує величезна користь від наявності ієрархії dns, яка хоча б дещо відповідає органу. Я бачив це лише тоді, коли хтось / люди керують цим відділом з точки зору ІТ-підтримки. Це стосується наявності окремих зон для цілей AD. Веб-адреси та інше - окрема тема, і це не стосується цього. Я не маю або не знаю жодних жорстких і швидких правил для ієрархії ДНС, я вважаю, що потреби вашого органу будуть диктувати це. У деяких зонах може знадобитися субдомен (eng.mit.edu), а в деяких не буде (наприклад, hr.mit.edu). Зрозуміло, для послідовності повинен бути лише один домен верхнього рівня.

Зазначаючи, що визначає, чи потрібен підрозділу субдомен чи ні? Якщо це для робочих станцій, чи мають вони власну ІТ-підтримку чи люди, здатні керувати такою системою? Якщо ні, насправді немає сенсу використовувати зону dns, щоб вказати, що машина знаходиться у певній кафедрі, є безліч інших методів, які виконають цю роботу просто чудово. Це лише питання, які вам доведеться просто задати собі.

Я би переоцінив кожну зону і визначив

  1. Якщо це ще навіть актуально. Чи все ще є сервери чи робочі станції, які вказують на що-небудь у цій зоні?

  2. Хто буде керувати новою зоною. Само собою зрозуміло, що зону доведеться перенести на вашу нову ієрархію, але чи просто ви реалізуєте інформацію про адресу переадресації / сервера імен для зони, чи будете активно керувати зоною?

Які системи "ізольовані" від AD? Чи не потребуватиме автентифікацію та / або управління мережею У чому причина їх відокремлення від точки зору DNS? Щоб підтвердити ваші підозри, справа в простоті управління. Якщо інженерні потреби , що багато адміністрації Dns, вони повинні отримати собі DNS адміністратор.

Щоб додати інформацію на основі оновлення, я особисто дав би їм власний піддомен eng.spacelysprockets.com, та підмережу. Він повинен бути захищений від решти мережі з відповідним трафіком. Якщо вони хочуть вимкнутись і створити, eng.eng.localабо eng.bikesви не можете їх зупинити, і вас не повинні змушувати підтримувати *.

Якщо вони грають добре, використовуйте підзону і вирішили, що хочуть відірватися lab.eng.spacelysprockets.comі частину підмережі, це на них. Напевно, вам слід повідомити люб'язно, щоб ви могли сегментувати і цей трафік, але всі не думають так.

Справжнє доменне ім’я для вашої інфраструктури серйозно дасть вам перевагу в управлінні, ви повинні це врахувати.

* Якщо ви і будете ви це дві різні речі, але я відволікся.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.