У нас есть основной домен нашей организации (с AD) example.com. В прошлом предыдущие администраторы создавали несколько других зон, таких как dmn.com, lab.example.com, dmn-geo.com и т. Д., А также субдомены и делегаты, все из которых предназначены для различных инженерных групп. Наш DNS сейчас немного беспорядок. И, конечно, это вызывает проблемы, когда кому-то на рабочей станции в example.com необходимо подключиться к системе в любой из этих других зон / поддоменов, или наоборот (частично потому, что передача зоны и делегирование неправильно настроены для большинства из них) ,
Наш производственный DNS интегрирован с Active Directory, но инженерные системы должны быть изолированы от AD.
Мы обсуждаем способы реорганизации DNS и объединения всех этих разных записей. Я вижу три различных пути, по которым мы можем пойти:
- Создайте новую зону, т.е. dmn.eng. Это может либо управляться ИТ-отделом с использованием наших DNS-серверов, либо с помощью их серверов имен.
- Создайте новый делегат eng.example.com, объедините инженерный DNS в этот поддомен и позвольте инженерам управлять сервером имен для делегата.
- Создайте новый поддомен eng.example.com без делегирования и сами управляйте DNS для этого поддомена.
Я предпочитаю создание поддомена делегата и предоставление инженерам полного контроля над собственной структурой DNS в этом поддомене. Преимущество в том, что если их DNS не работает, то, скорее всего, это не моя вина;). Тем не менее, существует некоторая неопределенность в отношении ответственности, когда что-то не работает, и для настройки, настройки и администрирования потребуется координация с инжинирингом.
Если мы не делегируем поддомен, это означает, что для производственных ИТ-отделов будет непросто работать с непроизводственными DNS (что мы, по сути, уже проделали). Преимущество заключается в том, что мы имеем полный контроль над всеми DNS, и когда что-то не работает, нет сомнений в том, чья ответственность это исправить. Мы также можем добавить делегатов, таких как geo.eng.example.com, чтобы предоставить инженерам больше гибкости и контроля, когда им это нужно.
Я действительно не уверен в необходимости или преимуществах создания новой зоны, dmn.eng.
Итак, каковы лучшие отраслевые практики и рекомендации для подобных ситуаций? Какое решение было бы проще всего реализовать и обеспечить плавное разрешение имен между проектированием и производством? Каковы некоторые потенциальные выгоды или недостатки каждого решения, которое я могу упустить?
Чтобы добавить немного больше информации, мы довольно крупная производственная компания. Эти инженеры работают в области R & D, Development и QA. Лаборатории часто имеют свои собственные подсети или целые сети, DHCP и т. Д. Что касается организации и технологий, они являются своего рода маленьким миром.
Мы хотим поддерживать некоторый уровень сетевой изоляции для инженерных лабораторий и сетей, чтобы защитить нашу производственную среду (обратитесь к более раннему вопросу, касающемуся инженеров, которые добавили инженерные DHCP-серверы в качестве авторитетных AD DHCP-серверов - этого не должно произойти). Однако пользователю на рабочей станции в лаборатории потребуется доступ к ресурсу в нашей производственной сети, или пользователю на рабочей станции в нашей производственной сети потребуется подключиться к лабораторной системе, и это происходит с достаточной частотой, чтобы оправдать сортировку. единого DNS.
У существующих делегатов уже есть DNS-серверы, управляемые инжинирингом, но между инженерами в разных лабораториях, где установлены эти серверы, отсутствует связь, поэтому наиболее распространенной проблемой является неудачное разрешение имен между поддоменами. Поскольку инженерам принадлежат эти серверы делегатов, я не могу исправить записи NS, чтобы они общались друг с другом - отсюда и преимущество не делегированного DNS, полностью принадлежащего ИТ. Но управление DNS для производства и проектирования - это головная боль, тем более что инженерия может вносить изменения в DNS ежедневно. Но, как BigHomie упомянул в своем ответе, это, вероятно, означает, что инженерам придется нанять (или назначить) настоящего администратора DNS; и этот человек, и я должен стать довольно хорошо знакомым.
Мне не обязательно нравится идея создания новой зоны с произвольным доменным именем или суффиксом верхнего уровня, но у нас уже есть 5 других зон с произвольными именами, поэтому объединение в одну все еще является улучшением. Я знаю, что существуют другие компании, которые имеют отдельные зоны верхнего уровня для разных групп в своей организации, поэтому мне интересно, когда это уместно и каковы преимущества / недостатки этого подхода.
К вашему сведению, я был в этой компании всего несколько месяцев, и предыдущий администратор AD / DNS покинул компанию, поэтому мне нечего ссылаться на то, почему существует какая-либо из существующих структур DNS.
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.
Этот комментарий заставляет меня задуматься, может быть, вам стоит подумать о создании отдельного леса AD для разработки, если честно.