在我们的组织中,我们有两个独立的组共享networking地址空间和一个域。 我/我的小组分配了一些/ 24片,其余部分分配给了我们的内部IT团队。
我们不希望能够为他们的分区pipe理DNS,但是我们需要能够为我们的分区进行pipe理。
问题是由于政治/历史的原因,我们已经build立了一个基于Linux的DNS服务器,并维护我们自己的logging,并将所有的服务器和设备指向这个服务器。 同时整个组织的用户和开发人员都指向IT团队的DNS服务器。
为了确保所有情况下都能正常工作,我们必须在我们的服务器中inputDNSlogging,然后在我们的IT团队中input票据,以在Active Directory环境中创buildlogging。 这是平等的,是一个pipe理的噩梦。
此外,我们有数以百计的服务器和应用程序使用共享domain.com和必须创build一个subdomain.domain.com和更新数百个服务器和应用程序不是首选。
因此,是否有办法授予信任和权限更新domain.comlogging只有less数几个/ 16s / 16? 插入Active Directory的第三方解决scheme是可以接受的。
我可能会误解这个,但是看起来像一个计划的任务每天运行一两次就行了。
如何访问该区域并执行更新的代码示例如下:
http://www.adamtheautomator.com/fix-dynamic-dns-record-permissions-automagically/
该代码是修复孤立的dynamicDNSlogging,但它应该指向你在正确的方向。
您当然已经注意到,在涉及到pipe理时,DNS并不关心子网。 DNS基础设施中的典型pipe理单位是至less对应一个域的“区域”。 因此,如果您想委派pipe理任务,则可以将pipe理权限委托给完整的区域,至less是完整的域名。
Windows AD DNS服务器确实为单个logging条目提供了一些额外的访问控制和委托function,即您可以为一个给定的用户或组设置“修改”权限,而无需委托整个区域pipe理。 但是,委托和ACLfunction都不包含像“子网”这样的pipe理单元,如果您需要在ACE中反映这一点,则需要在外部修复它们。
这就是说,它可能不像听起来那么糟糕,因为Windows DNS ACL也具有logging的“创build者”的概念,以及只能在区域中委托创build新logging的能力,而无需权限更改其他区域特定的数据或其他logging。 “创造者”成为logging的所有者,并隐含有权更改其权限,从而间接获得“完全控制”。 另外,如果需要(但隐含的更改权限的权限不能被撤销),在创build新logging时被“inheritance”的ACE可以在容器上显式定义。 所以基本的项目大纲可能是这样的:
我不能说Active Directory如何configuration,以允许您使用nsupdate远程pipe理和自动化域。
我可以告诉你的是,你可以通过使用NS委托来减less头痛,而不会为你的团队无法pipe理的数据定义静态A或CNAMElogging。
假设您在Active Directory中具有以下内容:
example.com. SOA dc1.example.com. hostmaster.example.com. 2015022400 28800 7200 604800 300 IN NS dc1.example.com. IN NS dc2.example.com. IN MX 10 mail.example.com. www IN NS ns1 ftp IN NS ns1 mail IN A 198.18.0.10 dc1 IN A 198.18.0.150 ns1 IN A 198.18.0.250
mail , ns1和dc1是静态定义的logging。 www和ftp已经委托给ns1.example.com. ,我们会说这是一个权威的Linux DNS服务器。 www和ftp请求将触发recursion并导致ns1.example.com被请求查找答案。 只要有一个防火墙允许来自数据中心的stream量命中ns1 ,这将会成功。 这仍然是一个痛苦:你没有逃避在远程服务器上定义logging的需要。 你正在完成的是个人logging的所有权。 如果其中一个logging的IP地址需要更改,则不必在围栏的两侧进行更改。 这将起作用,至less直到有人想要在DC上定义sub.ftp.example.com 。 由于ftp已经被委托, sub.ftp也被委派了,并且没有办法在本地pipe理它。