L'ingegneria dovrebbe avere una propria zona DNS, delegato o sottodominio?

15

Abbiamo il dominio primario della nostra organizzazione (con AD) example.com. In passato, gli amministratori precedenti avevano creato diverse altre zone - come dmn.com, lab.example.com, dmn-geo.com ecc. - così come sottodomini e delegati, tutti per diversi gruppi di ingegneri. Il nostro DNS in questo momento è un po 'un casino. E, naturalmente, ciò causa problemi quando qualcuno in una stazione di lavoro in example.com deve connettersi a un sistema in una qualsiasi di queste altre zone / sottodomini o viceversa (parzialmente perché il trasferimento e la delega delle zone non sono configurati correttamente per la maggior parte di essi) .

Il nostro DNS di produzione è integrato con Active Directory, ma i sistemi di ingegneria dovrebbero essere isolati da AD.

Stiamo discutendo i modi per riorganizzare il DNS e consolidare tutte queste diverse voci. Vedo tre strade diverse che possiamo prendere:

  • Crea una nuova zona, ad esempio "dmn.eng". Questo potrebbe essere gestito dall'IT, usando i nostri server DNS o ingegneria usando i loro nameserver.
  • Crea un nuovo delegato eng.example.com, consolida il DNS di ingegneria in quel sottodominio e lascia che gli ingegneri gestiscano il nameserver per il delegato.
  • Crea un nuovo sottodominio eng.example.com senza delega e gestisci noi stessi il DNS per il sottodominio.

Preferisco creare un sottodominio delegato e lasciare che gli ingegneri abbiano il pieno controllo della propria struttura DNS all'interno di quel sottodominio. Il vantaggio è che se il loro DNS non funziona, molto probabilmente non è colpa mia;). Tuttavia, c'è ancora qualche ambiguità riguardo alla responsabilità quando qualcosa non funziona e richiederà il coordinamento con l'ingegneria per impostare, configurare e amministrare.

Se non deleghiamo il sottodominio, ciò significa molto più lavoro per l'IT di produzione che gestisce DNS non di produzione (che essenzialmente abbiamo già fatto molto). Il vantaggio è che abbiamo il pieno controllo su tutti i DNS e quando qualcosa non funziona non vi è alcun dubbio sulla responsabilità di ripararlo. Possiamo anche aggiungere delegati, come geo.eng.example.com, per offrire maggiore flessibilità e controllo all'ingegneria quando ne hanno bisogno.

Sono davvero incerto sulla necessità o sui benefici della creazione di una nuova zona, dmn.eng.

Quali sono le migliori pratiche e raccomandazioni del settore per situazioni come questa? Quale soluzione sarebbe la più semplice da implementare e fornire una risoluzione dei nomi senza soluzione di continuità tra ingegneria e produzione? Quali sono alcuni potenziali benefici o insidie ​​per ogni soluzione che potrei perdere?

Per aggiungere un po 'più di informazioni, siamo una società di produzione abbastanza grande. Questi ingegneri lavorano in ricerca e sviluppo, sviluppo e controllo qualità. I laboratori hanno spesso le proprie sottoreti o intere reti, DHCP, ecc. Per quanto riguarda l'organizzazione e la tecnologia, sono una specie di piccolo mondo.

Vogliamo mantenere un certo livello di isolamento della rete per i laboratori di ingegneria e le reti al fine di proteggere il nostro ambiente di produzione (fare riferimento a una domanda precedente relativa agli ingegneri che hanno aggiunto i server DHCP di ingegneria come server DHCP AD autorevoli - che non dovrebbe essere possibile). Tuttavia, un utente in una stazione di lavoro in un laboratorio dovrà accedere a una risorsa nella nostra rete di produzione, oppure un utente in una stazione di lavoro nella nostra rete di produzione dovrà connettersi a un sistema di laboratorio, e ciò accade con frequenza sufficiente per giustificare una sorta -di DNS unificato.

I delegati esistenti dispongono già di server DNS gestiti dall'ingegneria, ma non esiste comunicazione tra gli ingegneri nei diversi laboratori in cui sono installati questi server, quindi il problema più comune è la risoluzione dei nomi non riuscita tra sottodomini. Dato che gli ingegneri possiedono quei server delegati, non posso correggere le voci NS per farle dialogare, quindi il vantaggio del DNS non delegato interamente di proprietà dell'IT. Ma gestire il DNS per la produzione e l' ingegneria è un mal di testa, soprattutto perché l'ingegneria può apportare modifiche al DNS su base giornaliera. Ma come ha detto BigHomie nella sua risposta, questo probabilmente significa che l'ingegneria dovrà assumere (o designare) un vero amministratore DNS; e quella persona e io dovremo conoscere abbastanza bene.

Non mi piace necessariamente l'idea di creare una nuova zona con un nome di dominio o suffisso arbitrario di primo livello, ma abbiamo già altre 5 zone con nomi arbitrari, quindi il consolidamento in una singola è ancora un miglioramento. So che esistono altre società che dispongono di zone di livello superiore separate per diversi gruppi nella loro organizzazione, quindi sono curioso di sapere quando è appropriato e quali sono i vantaggi / gli svantaggi di tale approccio.

Cordiali saluti, sono stato in questa azienda solo per alcuni mesi e il precedente amministratore AD / DNS ha lasciato l'azienda, quindi non ho nulla da fare riferimento al perché esiste una delle strutture DNS esistenti.

domain-name-system  internal-dns  dns-zone  subdomain 
Tommaso
fonte
Risposta aggiornata in base a maggiori informazioni.
MDMoore313,
1
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.Questo commento mi fa chiedere se forse dovresti considerare di avere una foresta AD separata per l'ingegneria, onestamente.
HopelessN00b
2
@ HopelessN00b era qualcosa di cui abbiamo discusso. Voglio evitarlo, perché quadruplica la domanda "Chi lo gestisce?" e, naturalmente, l'ingegneria richiede tutto il controllo e la flessibilità, ma nessuna responsabilità: "Gestiamolo fino a quando non si rompe, quindi lo ripariamo".
Thomas,

Risposte:

14

Nel mondo di oggi, non consiglio di creare nuove zone con domini di primo livello arbitrari , in quanto questi potrebbero trasformarsi in "dns ufficiali" in qualsiasi momento.

Personalmente preferirei lo scenario di delega dei sottodomini, poiché sembra adattarsi a ciò che si tenta di fare. (Consolidare ma dare il controllo all'ingegneria)

Forse puoi persino trovare un front-end Web per MS DNS in cui l'ingegneria potrebbe aggiungere / rimuovere record, in modo che il server stesso sia ancora di proprietà dell'IT di produzione e l'unica cosa che "gestiscono" sono le voci DNS.

MichelZ
fonte
14

Innanzitutto, assicurati di possedere il domain.tld che prevedi di utilizzare (mit.edu). Anche se questo non si connette mai a Internet, non è questo il punto.

Ci sono enormi vantaggi ad avere una gerarchia di dns che almeno un po ' corrisponde al org. L'ho visto solo quando c'è qualcuno / persone che gestiscono quel dipartimento in termini di supporto IT. Questo per quanto riguarda le zone separate ai fini di AD. Gli indirizzi Web e così via sono un argomento separato e questo non si applica a questo. Non ho né conosco regole rigide per la gerarchia del DNS, credo che le esigenze della tua organizzazione lo dettino. Alcune zone potrebbero richiedere un sottodominio (eng.mit.edu) e altre no (hr.mit.edu, ad esempio). Naturalmente, ci dovrebbe essere solo un dominio di primo livello per coerenza.

Detto questo, cosa determina se un reparto necessita o meno di un sottodominio? Se questo è per workstation, hanno il loro supporto IT o persone in grado di gestire un tale sistema? In caso contrario, non ha davvero senso utilizzare una zona dns per specificare che una macchina si trova in un determinato reparto, ci sono numerosi altri metodi che faranno bene il lavoro. Queste sono solo domande che dovrai porti.

Vorrei rivalutare ogni zona e determinare

  1. Se è ancora rilevante. Ci sono server o workstation che indicano ancora qualcosa in quella zona?

  2. Chi gestirà la nuova zona. Va da sé che la zona dovrà essere migrata nella tua nuova gerarchia, ma implementerai semplicemente un indirizzo di inoltro / informazioni sul nameserver per la zona o gestirai attivamente la zona?

Quali sistemi sono "isolati" da AD? Questi non richiedono autenticazione e / o gestione della rete? Qual è il motivo per separarli da una prospettiva DNS? Per confermare i tuoi sospetti, è tutto sulla facilità di gestione. Se l'ingegneria ha bisogno di così tanta amministrazione DNS, dovrebbero procurarsi un amministratore DNS.

Per aggiungere informazioni in base al tuo aggiornamento, personalmente darei loro il proprio sottodominio eng.spacelysprockets.come anche la sottorete. Dovrebbe essere protetto da firewall dal resto della rete con il traffico appropriato consentito attraverso. Se vogliono andarsene e creare eng.eng.localo eng.bikesnon riesci a fermarli, né dovresti essere obbligato a sostenerlo *.

Se giocano bene usa la sottozona e decidono che vogliono staccarsi lab.eng.spacelysprockets.come una parte della sottorete, questo è su di loro. Probabilmente dovrebbe essere una cortesia professionale farti sapere in modo da poter segmentare anche quel traffico, ma tutti non la pensano così.

Un vero nome di dominio per la tua infrastruttura ti darebbe seriamente un vantaggio sulla gestione, dovresti considerarlo.

* Si dovrebbe e si vi sono due cose diverse, ma sto divagando.

MDMoore313
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.