domain-name-system – 工程师是否应该拥有自己的DNS区域,委托或子域?

前端之家收集整理的这篇文章主要介绍了domain-name-system – 工程师是否应该拥有自己的DNS区域,委托或子域?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们有我们组织的主要域名(使用AD)example.com.过去,以前的管理员已经创建了其他几个区域 – 例如dmn.com,lab.example.com,dmn-geo.com等 – 以及所有子区域和委托都适用于不同的工程组.我们现在的DNS有点混乱.当然,当example.com中的工作站的某个人需要连接到任何其他区域/子域中的系统时,这会导致问题,反之亦然(部分原因是区域传输和委派没有为大多数区域正确配置) .

我们的生产DNS与Active Directory集成,但工程系统应与AD隔离.

我们正在讨论重组DNS和整合所有这些不同条目的方法.我看到我们可以采取三种不同的途径:

>创建一个新区域,即’dmn.eng’.这可以由IT管理,使用我们的DNS服务器或使用其名称服务器进行工程设计.
>创建新的委托eng.example.com,将工程DNS合并到该子域中,让工程师管理委托的名称服务器.
>创建一个没有委派的新子域eng.example.com并自己管理子域的DNS.

我赞成创建一个委托子域,让工程师完全控制自己在该子域中的DNS结构.优点是,如果他们的DNS不起作用,那很可能不是我的错;).但是,当某些东西不起作用并且需要与工程部门协调以进行设置,配置和管理时,仍然存在一些关于责任的模糊性.

如果我们不委托子域,那意味着生产IT处理非生产DNS(我们基本上已经做了很多工作)的工作要多得多.优点是我们可以完全控制所有DNS,当某些东西不起作用时,毫无疑问,修复它的责任是什么.我们还可以添加代理,例如geo.eng.example.com,以便在需要时为工程提供更大的灵活性和控制.

我真的不确定创建一个新区域dmn.eng的必要性或好处.

那么针对这种情况的行业最佳实践和建议是什么?什么解决方案最简单的实现并在工程和生产之间提供无缝的名称解析?对于我可能缺少的每个解决方案,有哪些潜在的好处或陷阱?

为了增加更多信息,我们是一家规模相当大的制造公司.这些工程师在R& D,Development和QA中工作.实验室经常有自己的子网或整个网络,DHCP等.在组织和技术方面,它们都是他们自己的小世界.

我们希望为工程实验室和网络保持一定程度的网络隔离,以保护我们的生产环境(参考an earlier question关于将工程DHCP服务器添加为权威AD DHCP服务器的工程师 – 这是不应该发生的).但是,实验室工作站的用户需要访问我们生产网络中的资源,或者我们生产网络中工作站的用户需要连接到实验室系统,这种情况发生的频率足以证明排序合理 – 统一DNS.

现有代表已经拥有由工程管理的DNS服务器,但是在设置这些服务器的不同实验室中的工程师之间没有通信,因此最常见的问题是子域之间的名称解析失败.由于工程师拥有这些代理服务器,我无法更正NS条目以使它们相互通信 – 因此IT全资拥有的非委托DNS的优势.但是,管理用于生产和工程的DNS非常令人头疼,特别是因为工程可以每天进行DNS更改.但正如BigHomie在他的回答中提到的,这可能意味着工程师将不得不雇用(或指定)真正的DNS管理员;那个人和我必须要相当熟悉.

我不一定喜欢创建一个具有任意顶级域名或后缀的新区域的想法,但我们已经有5个具有任意名称的其他区域,因此合并为一个区域仍然是一个改进.我知道其他公司确实存在针对其组织中不同群体的单独顶级区域,所以我很好奇何时这是合适的,以及该方法的优点/缺点是什么.

仅供参考,我只在这家公司工作了几个月而之前的AD / DNS管理员离开了公司,因此我没有任何关于为什么存在任何现有DNS结构的参考.

解决方法

在今天的世界中,我不建议创建具有任意顶级域名的新区域,因为这些区域可能会在任何时间点成为“官方dns”.

我个人赞成子域委托方案,因为它似乎适合你尝试做的事情. (巩固但控制工程)

也许您甚至可以找到MS DNS的Web前端,其中工程师可以添加/删除记录,因此服务器本身仍然由生产IT拥有,并且“他们”管理的唯一事情是DNS条目.

猜你在找的HTML相关文章