我们有我们组织的主要领域(与AD)example.com。 在过去,以前的pipe理员已经创build了几个其他的区域,如dmn.com,lab.example.com,dmn-geo.com等,以及子域和委托,这些都是针对不同的工程组。 我们的DNS现在是一个混乱。 当然,当example.com中的工作站上的某个人需要连接到其他任何区域/子域中的系统时(或者相反),这当然会引起问题(部分原因是区域传输和委派没有针对大多数区域进行正确configuration) 。
我们的生产DNS与Active Directory集成,但工程系统应该与AD隔离。
我们正在讨论重组DNS和合并所有这些不同条目的方法。 我看到我们可以采取三种不同的途径:
我喜欢创build一个委托子域,并让工程师完全控制自己在该子域内的DNS结构。 好处是,如果他们的DNS不起作用,这很可能不是我的错;)。 但是,当某些事情不起作用时,责任仍然有些模棱两可,需要与工程师协调来build立,configuration和pipe理。
如果我们不委托子域,这意味着生产IT处理非生产性DNS(我们已经基本上已经做了很多工作)的许多工作。 好处是我们可以完全控制所有的DNS,当一些事情不起作用的时候,毫无疑问,谁来解决这个问题是谁的责任。 我们还可以添加代表(如geo.eng.example.com),以便在需要时为工程提供更多的灵活性和控制权。
我真的不确定创build一个新的区域dmn.eng的必要性或好处。
那么,针对这种情况的行业最佳实践和build议是什么? 最简单的解决scheme是在工程和生产之间实现和提供无缝的名称parsing。 每个解决scheme有哪些潜在的好处或陷阱可能会丢失?
要增加更多的信息,我们是一个相当大的制造公司。 这些工程师从事研发,开发和质量保证工作。 实验室往往有自己的子网或整个networking,DHCP等。在组织和技术方面,他们是一个他们自己的小世界。
我们希望为工程实验室和networking维护一定程度的networking隔离,以保护我们的生产环境(参考以前关于将工程DHCP服务器添加为权威AD DHCP服务器的工程师的问题 – 这是不应该发生的)。 然而,实验室工作站上的用户需要访问我们生产networking中的资源,或者我们生产networking上的工作站上的用户需要连接到实验室系统,而这种情况发生的频率足以certificate统一的DNS。
现有的代理已经有了由工程pipe理的DNS服务器,但是在设置这些服务器的不同实验室中,工程师之间没有通信,所以最常见的问题是子域之间的名称parsing失败。 由于工程师拥有这些代理服务器,所以我不能纠正NS条目让他们彼此交谈 – 因此这是IT完全拥有的未委托DNS的优势。 但是,为生产和工程pipe理DNS是一件令人头疼的事情,尤其是工程师可以每天进行DNS更改。 但正如BigHomie在他的回答中所提到的,这可能意味着工程师将不得不雇用(或指定)一个真正的DNSpipe理员; 那个人和我必须相当熟悉。
我不一定喜欢用任意顶级域名或后缀创build一个新区域的想法,但是我们已经有了另外5个任意区域的区域,所以巩固成一个区域仍然是一个改进。 我知道其他公司也存在这样的公司,它们在组织中确实为不同的组织分配了顶级区域,所以我很好奇什么时候这是合适的,以及这种方法的优点和缺点。
仅供参考,我只在这家公司工作了几个月,之前的AD / DNSpipe理员离开了公司,所以我没有任何可以提及的为什么现有的DNS结构存在。
在当今世界, 我不build议创build任意顶级域名的新区域 ,因为这些区域在任何时候都可能成为“官方DNS”。
我个人会赞成子域代表的情况下,因为它似乎是适合你试图做的。 (巩固,但控制工程)
也许你甚至可以findMS DNS的networking前端,其中工程可以添加/删除logging,以便服务器本身仍然是生产IT所拥有,唯一“pipe理”是DNS条目。
首先,确保您拥有您计划使用的domain.tld(mit.edu)。 即使这不会连接到互联网,那不是重点。
有一个至less有点匹配组织的dns层次结构有很大的好处。 我只有在有人/人在IT支持方面pipe理该部门时才会看到这一点。 这是为了AD的目的而分开的区域。 url等是一个单独的主题,这不适用于此。 我对dns层次结构并没有或者知道任何硬性规定,我相信你的组织需求将决定这一点。 一些区域可能需要一个子域(eng.mit.edu),有些则不会(例如hr.mit.edu)。 当然,应该只有一个顶级域名的一致性。
这就是说,什么决定一个部门是否需要一个子域名? 如果是工作站,他们是否有自己的IT支持,或者有能力pipe理这样一个系统的人? 如果没有,使用dns区域确定一台机器是否在某个部门是没有任何意义的,还有很多其他方法可以完成这项工作。 这些只是你不得不问自己的问题。
我会重新评估每个区域并确定
如果它仍然是相关的。 有没有服务器或工作站仍指向该区域的任何东西?
谁将pipe理新的区域。 不用说,该区域将不得不迁移到新的层次结构中,而是只为该区域实施转发地址/域名服务器信息,还是将主动pipe理该区域?
什么系统是从AD“隔离”的? 这些不需要networkingauthentication和/或pipe理? 什么是从DNSangular度分离他们的原因? 为了证实你的怀疑,这一切都是关于易于pipe理。 如果工程需要这么多DNSpipe理,他们应该让自己的DNSpipe理员。
要根据您的更新添加信息,那么我个人会给他们自己的子域名eng.spacelysprockets.com和子网。 它应该从networking的其余部分进行防火墙,并允许适当的stream量通过。 如果他们想要创造eng.eng.local或者eng.bikes你不能阻止他们,你也不应该被迫支持*。
如果他们玩得很好,使用分区,并决定他们想要中断lab.eng.spacelysprockets.com和子网的一部分,这是他们。 这应该是专业礼貌,让你知道,所以你可以分割stream量,但每个人都不这样想。
一个真正的域名为您的基础设施将认真给你一个pipe理的优势,你应该考虑它。
*如果你和你是两回事,但我离题了。