Sollte das Engineering eine eigene DNS-Zone, einen eigenen Delegaten oder eine eigene Unterdomäne haben?

15

Wir haben die primäre Domain unserer Organisation (mit AD) example.com. In der Vergangenheit haben frühere Administratoren mehrere andere Zonen erstellt - wie z. B. dmn.com, lab.example.com, dmn-geo.com usw. - sowie Subdomänen und Delegierte, die sich alle auf verschiedene Engineering-Gruppen beziehen. Unser DNS ist im Moment ein bisschen durcheinander. Dies führt natürlich zu Problemen, wenn jemand an einer Arbeitsstation in example.com eine Verbindung zu einem System in einer dieser anderen Zonen / Subdomänen herstellen muss oder umgekehrt (teilweise, weil die Übertragung und Delegierung von Zonen für die meisten von ihnen nicht ordnungsgemäß konfiguriert ist). .

Unser Produktions-DNS ist in Active Directory integriert, Engineering-Systeme sollten jedoch von AD isoliert sein.

Wir diskutieren Möglichkeiten zur Reorganisation von DNS und zur Konsolidierung all dieser verschiedenen Einträge. Ich sehe drei verschiedene Wege, die wir einschlagen können:

  • Erstellen Sie eine neue Zone, zB 'dmn.eng'. Dies kann entweder von der IT mithilfe unserer DNS-Server oder vom Engineering mithilfe ihrer Nameserver verwaltet werden.
  • Erstellen Sie einen neuen Delegaten eng.example.com, konsolidieren Sie den Engineering-DNS in dieser Unterdomäne und lassen Sie die Ingenieure den Nameserver für den Delegaten verwalten.
  • Erstellen Sie eine neue Subdomain eng.example.com ohne Delegierung und verwalten Sie den DNS für die Subdomain selbst.

Ich bevorzuge die Erstellung einer Delegierten-Subdomäne und überlasse den Ingenieuren die volle Kontrolle über ihre eigene DNS-Struktur innerhalb dieser Subdomäne. Der Vorteil ist, dass wenn ihr DNS nicht funktioniert, es höchstwahrscheinlich nicht meine Schuld ist;). Es besteht jedoch immer noch eine gewisse Unklarheit in Bezug auf die Verantwortung, wenn etwas nicht funktioniert, und die Einrichtung, Konfiguration und Verwaltung muss mit dem Engineering abgestimmt werden.

Wenn wir die Unterdomäne nicht delegieren, bedeutet dies viel mehr Arbeit für die Produktions-IT im Umgang mit nicht-produktivem DNS (wofür wir im Wesentlichen bereits viel getan haben). Der Vorteil ist, dass wir die volle Kontrolle über alle DNS haben und wenn etwas nicht funktioniert, besteht kein Zweifel darüber, wessen Verantwortung es ist, es zu beheben. Wir können auch Delegierte wie geo.eng.example.com hinzufügen, um dem Engineering mehr Flexibilität und Kontrolle zu geben, wenn es benötigt wird.

Ich bin mir wirklich unsicher, ob es notwendig oder vorteilhaft ist, eine neue Zone, dmn.eng, einzurichten.

Welche Best Practices und Empfehlungen der Branche gibt es für solche Situationen? Welche Lösung lässt sich am einfachsten implementieren und bietet eine nahtlose Namensauflösung zwischen Engineering und Produktion? Welche potenziellen Vorteile oder Fallstricke hat jede Lösung, die mir möglicherweise fehlt?

Um ein wenig mehr Informationen hinzuzufügen, sind wir ein ziemlich großes Produktionsunternehmen. Diese Ingenieure arbeiten in den Bereichen F & E, Entwicklung und Qualitätssicherung. Labore haben häufig ihre eigenen Subnetze oder ganze Netzwerke, DHCP usw. In Bezug auf Organisation und Technologie sind sie eine Art eigene kleine Welt.

Wir möchten ein gewisses Maß an Netzwerkisolation für technische Labors und Netzwerke aufrechterhalten, um unsere Produktionsumgebung zu schützen (siehe eine frühere Frage zu Ingenieuren, die technische DHCP-Server als autorisierende AD DHCP-Server hinzugefügt haben - das sollte nicht möglich sein). Ein Benutzer an einer Arbeitsstation in einem Labor muss jedoch auf eine Ressource in unserem Produktionsnetzwerk zugreifen, oder ein Benutzer an einer Arbeitsstation in unserem Produktionsnetzwerk muss eine Verbindung zu einem Laborsystem herstellen, und dies geschieht mit einer ausreichenden Häufigkeit, um eine Sortierung zu rechtfertigen -von Unified DNS.

Die vorhandenen Delegaten haben bereits DNS-Server, die vom Engineering verwaltet werden. Es besteht jedoch keine Kommunikation zwischen den Technikern in den verschiedenen Labors, in denen diese Server eingerichtet sind. Daher besteht das häufigste Problem in der fehlgeschlagenen Namensauflösung zwischen Subdomänen. Da die Ingenieure diese Delegierten-Server besitzen, kann ich die NS-Einträge nicht korrigieren, damit sie miteinander kommunizieren - daher der Vorteil von nicht delegiertem DNS, das sich vollständig im Besitz der IT befindet. Das Verwalten von DNS für Produktion und Engineering ist jedoch problematisch, zumal das Engineering täglich Änderungen an DNS vornehmen kann. Aber wie BigHomie in seiner Antwort erwähnt hat, bedeutet dies wahrscheinlich, dass das Engineering einen echten DNS-Administrator einstellen (oder bestimmen) muss. und diese Person und ich müssen uns ziemlich gut kennenlernen.

Die Idee, eine neue Zone mit einem beliebigen Top-Level-Domain-Namen oder Suffix zu erstellen, mag ich nicht unbedingt, aber wir haben bereits 5 andere Zonen mit beliebigen Namen, sodass die Konsolidierung zu einer einzigen noch eine Verbesserung darstellt. Ich weiß, dass es andere Unternehmen gibt, die separate Top-Level-Zonen für verschiedene Gruppen in ihrer Organisation haben. Daher bin ich gespannt, wann dies angemessen ist und welche Vor- / Nachteile dieser Ansatz hat.

Zu Ihrer Information, ich bin erst seit ein paar Monaten bei diesem Unternehmen und der vorherige AD / DNS-Administrator hat das Unternehmen verlassen. Daher kann ich nicht darauf verweisen, warum eine der vorhandenen DNS-Strukturen vorhanden ist.

domain-name-system  internal-dns  dns-zone  subdomain 
Thomas
quelle
Aktualisierte Antwort basierend auf mehr Informationen.
MDMoore313
1
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.Bei diesem Kommentar frage ich mich, ob Sie ehrlich gesagt in Betracht ziehen sollten, eine separate AD-Gesamtstruktur für das Engineering zu haben.
HopelessN00b
2
@ HopelessN00b darüber haben wir schon gesprochen. Ich möchte das vermeiden, weil sich die Frage "Wer schafft das?" Vervierfacht. und natürlich will das Engineering die gesamte Kontrolle und Flexibilität, aber nicht die Verantwortung - "Lassen Sie uns das alles verwalten, bis es kaputt geht, und dann beheben Sie es."
Thomas

Antworten:

14

In der heutigen Welt empfehle ich nicht, neue Zonen mit willkürlichen Top-Level-Domains zu erstellen , da diese es zu irgendeinem Zeitpunkt in "offizielle DNS" schaffen könnten.

Ich persönlich würde das Subdomain-Delegationsszenario bevorzugen, da es passend zu Ihren Versuchen zu sein scheint. (Konsolidieren, aber Kontrolle über das Engineering geben)

Vielleicht finden Sie sogar ein Web-Front-End für MS DNS, in dem das Engineering Datensätze hinzufügen / entfernen kann, sodass der Server selbst immer noch im Besitz der Produktions-IT ist und nur DNS-Einträge verwaltet werden.

MichelZ
quelle
14

In erster Linie sicherstellen , dass Sie besitzen die domain.tld Sie sich mit der Planung (mit.edu). Auch wenn dies nie mit dem Internet verbunden ist, ist das nicht der Punkt.

Es hat enorme Vorteile, eine DNS-Hierarchie zu haben, die zumindest etwas mit der Organisation übereinstimmt. Ich habe dies nur gesehen, wenn es jemanden gibt, der diese Abteilung in Bezug auf IT-Support leitet. Dies bezieht sich auf getrennte Zonen für die Zwecke der AD. Webadressen und usw. sind ein separates Thema, und dies gilt nicht für dieses Thema. Ich kenne oder habe keine festen Regeln für die DNS-Hierarchie. Ich glaube, die Bedürfnisse Ihrer Organisation werden dies vorschreiben. Einige Zonen erfordern möglicherweise eine Unterdomäne (eng.mit.edu), andere nicht (hr.mit.edu). Natürlich sollte es nur eine Top-Level-Domain geben, um die Konsistenz zu gewährleisten.

Was bestimmt, ob eine Abteilung eine Unterdomäne benötigt oder nicht? Wenn es sich um Workstations handelt, haben sie einen eigenen IT-Support oder Personen, die in der Lage sind, ein solches System zu verwalten? Wenn dies nicht der Fall ist, macht es keinen Sinn, eine DNS-Zone zu verwenden, um anzugeben, dass sich eine Maschine in einer bestimmten Abteilung befindet. Es gibt zahlreiche andere Methoden, mit denen die Aufgabe in Ordnung ist. Dies sind nur Fragen, die Sie sich stellen müssen.

Ich würde jede Zone neu bewerten und feststellen

  1. Wenn es noch relevant ist. Zeigen Server oder Workstations noch auf etwas in dieser Zone?

  2. Wer verwaltet die neue Zone? Es versteht sich, die Zone zu Ihrer neuen Hierarchie migriert werden müssen, aber Sie nur eine Weiterleitungsadresse / Nameserver - Informationen für die Zone implementieren, oder werden Sie aktiv die Verwaltung der Zone?

Welche Systeme sind von AD isoliert? Benötigen diese keine Netzwerkauthentifizierung und / oder -verwaltung? Was ist der Grund für die Trennung von einer DNS-Perspektive? Um Ihren Verdacht zu bestätigen, geht es um eine einfache Verwaltung. Wenn das Engineering so viel DNS-Administration benötigt , sollten sie sich einen DNS-Administrator zulegen.

Um Informationen basierend auf Ihrem Update hinzuzufügen, würde ich ihnen persönlich ihre eigene Subdomain eng.spacelysprockets.comund auch ein Subnetz geben. Es sollte vom Rest des Netzwerks mit dem entsprechenden Datenverkehr durch Firewall geschützt werden. Wenn sie loslegen und kreieren wollen eng.eng.localoder eng.bikesSie sie nicht aufhalten können, sollten Sie auch nicht gezwungen sein, dies zu unterstützen *.

Wenn sie gut spielen, nutzen Sie die Subzone und entscheiden, dass sie abbrechen wollen lab.eng.spacelysprockets.comund einen Teil des Subnetzes, das liegt an ihnen. Es sollte wahrscheinlich professionelle Höflichkeit sein, Sie zu informieren, damit Sie auch diesen Verkehr segmentieren können, aber jeder denkt nicht so.

Ein echter Domainname für Ihre Infrastruktur würde Ihnen ernsthaft einen Vorteil für die Verwaltung verschaffen. Sie sollten dies in Betracht ziehen.

* Solltest du und willst du zwei verschiedene Dinge, aber ich schweife ab.

MDMoore313
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.