Haruskah rekayasa memiliki zona DNS, delegasi, atau subdomain sendiri?

15

Kami memiliki domain utama organisasi kami (dengan AD) example.com. Di masa lalu, admin sebelumnya telah membuat beberapa zona lain - seperti dmn.com, lab.example.com, dmn-geo.com dll - serta subdomain dan delegasi yang semuanya untuk kelompok teknik berbeda. DNS kami saat ini agak berantakan. Dan tentu saja ini menyebabkan masalah ketika seseorang di workstation di example.com perlu terhubung ke sistem di salah satu zona / subdomain lain ini, atau sebaliknya (sebagian karena transfer zona dan delegasi tidak dikonfigurasi dengan benar untuk sebagian besar dari mereka) .

DNS produksi kami terintegrasi dengan Active Directory, tetapi sistem teknik harus diisolasi dari AD.

Kami sedang mendiskusikan cara mengatur ulang DNS dan menggabungkan semua entri yang berbeda ini. Saya melihat tiga jalan berbeda yang bisa kita ambil:

  • Buat zona baru yaitu 'dmn.eng'. Ini bisa dikelola oleh TI, menggunakan server DNS kami atau rekayasa menggunakan server nama mereka.
  • Buat delegasi baru eng.example.com, gabungkan DNS teknik ke dalam subdomain itu, dan biarkan teknisi mengelola server nama untuk delegasi tersebut.
  • Buat subdomain baru eng.example.com tanpa delegasi dan kelola DNS untuk subdomain sendiri.

Saya lebih suka membuat subdomain delegasi dan membiarkan para insinyur memiliki kontrol penuh atas struktur DNS mereka sendiri dalam subdomain itu. Keuntungannya adalah jika DNS mereka tidak berfungsi, kemungkinan besar itu bukan kesalahan saya;). Namun, masih ada beberapa ambiguitas tentang tanggung jawab ketika sesuatu tidak bekerja dan akan membutuhkan koordinasi dengan teknik untuk mengatur, mengkonfigurasi, dan mengelola.

Jika kami tidak mendelegasikan subdomain, itu berarti lebih banyak pekerjaan untuk produksi yang menangani DNS non-produksi (yang pada dasarnya sudah kami lakukan). Keuntungannya adalah bahwa kami memiliki kontrol penuh atas semua DNS dan ketika sesuatu tidak berfungsi, tidak ada keraguan tentang siapa yang bertanggung jawab untuk memperbaikinya. Kami juga dapat menambahkan delegasi, seperti geo.eng.example.com, untuk memberikan rekayasa lebih banyak fleksibilitas dan kontrol ketika mereka membutuhkannya.

Saya benar-benar tidak yakin tentang perlunya atau manfaat dari menciptakan zona baru, dmn.eng.

Jadi apa praktik terbaik dan rekomendasi industri untuk situasi seperti ini? Solusi apa yang paling sederhana untuk diterapkan dan memberikan resolusi nama yang mulus antara teknik dan produksi? Apa beberapa manfaat atau jebakan potensial untuk setiap solusi yang mungkin saya lewatkan?


Untuk menambahkan sedikit informasi, kami adalah perusahaan manufaktur yang cukup besar. Para insinyur ini bekerja di R&D, Pengembangan, dan QA. Lab sering memiliki subnet sendiri atau seluruh jaringan, DHCP, dll. Dalam hal organisasi dan teknologi, mereka adalah jenis dunia kecil mereka sendiri.

Kami ingin mempertahankan beberapa tingkat isolasi jaringan untuk lab dan jaringan teknik guna melindungi lingkungan produksi kami (rujuk pertanyaan sebelumnya tentang teknisi yang menambahkan server DHCP rekayasa sebagai server DHCP AD yang otoritatif - yang seharusnya tidak dapat terjadi). Namun, pengguna di stasiun kerja di lab akan perlu mengakses sumber daya di jaringan produksi kami, atau pengguna di stasiun kerja di jaringan produksi kami harus terhubung ke sistem lab, dan ini terjadi dengan frekuensi yang cukup untuk membenarkan penyortiran. -dari DNS terpadu.

Delegasi yang ada sudah memiliki server DNS yang dikelola oleh teknik, tetapi tidak ada komunikasi antara insinyur di laboratorium yang berbeda di mana server ini diatur, sehingga masalah yang paling umum adalah resolusi nama yang gagal di antara subdomain. Karena para insinyur memiliki server delegasi tersebut, saya tidak dapat memperbaiki entri NS untuk membuat mereka berbicara satu sama lain - maka keuntungan dari DNS yang tidak didelegasikan sepenuhnya dimiliki oleh IT. Tetapi mengelola DNS untuk produksi dan rekayasa merupakan hal yang sulit, terutama karena rekayasa dapat membuat perubahan DNS setiap hari. Tetapi seperti yang dikatakan BigHomie dalam jawabannya, ini mungkin berarti rekayasa harus merekrut (atau menunjuk) admin DNS asli; dan orang itu dan saya harus berkenalan dengan cukup baik.

Saya tidak serta-merta menyukai gagasan membuat zona baru dengan sembarang nama domain tingkat atas atau sufiks, tetapi kami sudah memiliki 5 zona lain dengan nama sewenang-wenang sehingga menggabungkannya menjadi satu pun masih merupakan peningkatan. Saya tahu bahwa ada perusahaan lain yang memiliki zona tingkat atas yang terpisah untuk berbagai kelompok dalam organisasi mereka, jadi saya ingin tahu kapan itu tepat dan apa kelebihan / kekurangan dari pendekatan itu.

FYI, saya hanya berada di perusahaan ini selama beberapa bulan dan admin AD / DNS sebelumnya meninggalkan perusahaan, jadi saya tidak punya referensi tentang mengapa ada struktur DNS yang ada.

Thomas
sumber
Jawaban yang diperbarui berdasarkan info lebih lanjut.
MDMoore313
1
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.Komentar ini membuat saya bertanya-tanya apakah mungkin Anda harus mempertimbangkan memiliki hutan AD terpisah untuk rekayasa, jujur.
HopelessN00b
2
@ HopelessN00b itu adalah sesuatu yang telah kita diskusikan. Saya ingin menghindari itu, karena itu melipatgandakan pertanyaan, "Siapa yang mengelolanya?" dan tentu saja teknik menginginkan semua kontrol dan fleksibilitas tetapi tidak ada tanggung jawab - "Biarkan kami mengelolanya sampai rusak, maka Anda memperbaikinya."
Thomas

Jawaban:

14

Di dunia saat ini, saya tidak merekomendasikan membuat zona baru dengan domain tingkat atas yang sewenang-wenang , karena ini mungkin menjadikannya "dns resmi" kapan saja.

Saya pribadi akan menyukai skenario delegasi subdomain, karena tampaknya sesuai dengan apa yang Anda coba lakukan. (Konsolidasi tetapi berikan kontrol pada teknik)

Mungkin Anda bahkan dapat menemukan web-front-end untuk MS DNS di mana teknik dapat menambah / menghapus catatan, sehingga server itu sendiri masih dimiliki oleh TI produksi, dan satu-satunya yang "mereka" kelola adalah entri DNS.

MichelZ
sumber
14

Pertama dan terpenting, pastikan Anda memiliki domain.tld yang Anda rencanakan untuk digunakan (mit.edu). Bahkan jika ini tidak pernah terhubung ke internet, bukan itu intinya.

Ada manfaat besar untuk memiliki hierarki dns yang setidaknya agak sesuai dengan org. Saya hanya melihat ini dilakukan ketika ada seseorang / orang yang mengelola departemen itu dalam hal dukungan TI. Ini terkait dengan memiliki zona terpisah untuk keperluan AD. Alamat web dan lain-lain adalah topik yang terpisah dan ini tidak berlaku untuk itu. Saya tidak punya atau tahu aturan keras dan cepat untuk hierarki dns, saya yakin kebutuhan org Anda akan menentukan itu. Beberapa zona mungkin memerlukan subdomain (eng.mit.edu) dan beberapa tidak akan (hr.mit.edu, misalnya). Tentu saja, seharusnya hanya ada satu domain tingkat atas untuk konsistensi.

Yang sedang berkata, apa yang menentukan apakah suatu dept memerlukan subdomain atau tidak? Jika ini untuk workstation, apakah mereka memiliki dukungan TI sendiri, atau orang yang mampu mengelola sistem seperti itu? Jika tidak, benar-benar tidak ada gunanya menggunakan zona dns untuk menentukan bahwa mesin berada di dept tertentu, ada banyak metode lain yang akan melakukan pekerjaan dengan baik. Ini hanya pertanyaan yang harus Anda tanyakan pada diri sendiri.

Saya akan mengevaluasi kembali setiap zona dan menentukan

  1. Jika itu masih relevan. Apakah ada server atau workstation yang menunjuk ke sesuatu di zona itu?

  2. Siapa yang akan mengelola zona baru. Tidak perlu dikatakan bahwa zona tersebut harus dimigrasikan ke hierarki baru Anda, tetapi apakah Anda hanya menerapkan informasi alamat penyuratan / nameserver untuk zona tersebut, atau apakah Anda akan secara aktif mengelola zona tersebut?

Sistem apa yang 'terisolasi' dari AD? Apakah ini tidak memerlukan otentikasi jaringan dan / atau manajemen? Apa alasan memisahkan mereka dari perspektif DNS? Untuk mengkonfirmasi kecurigaan Anda, ini semua tentang kemudahan manajemen. Jika rekayasa kebutuhan yang administrasi dns banyak, mereka harus mendapatkan diri mereka DNS admin.

Untuk menambahkan info berdasarkan pembaruan Anda, maka saya pribadi akan memberi mereka subdomain mereka sendiri eng.spacelysprockets.com,, dan juga subnet. Itu harus firewall dari sisa jaringan dengan lalu lintas yang sesuai diizinkan. Jika mereka ingin pergi dan membuat eng.eng.localatau eng.bikesAnda tidak dapat menghentikan mereka, Anda juga tidak harus dipaksa untuk mendukung itu *.

Jika mereka bermain bagus gunakan subzone dan memutuskan ingin memutuskan lab.eng.spacelysprockets.comdan sebagian dari subnet, itu ada pada mereka. Mungkin harus menjadi kesopanan profesional untuk memberi tahu Anda sehingga Anda dapat mengelompokkan lalu lintas itu juga, tetapi semua orang tidak berpikir seperti itu.

Nama domain asli untuk infrastruktur Anda secara serius akan memberi Anda keuntungan pada manajemen, Anda harus mempertimbangkannya.

* Jika Anda dan akan Anda dua hal yang berbeda, tetapi saya ngelantur.

MDMoore313
sumber