我们的生产DNS与Active Directory集成,但工程系统应与AD隔离.
我们正在讨论重组DNS和整合所有这些不同条目的方法.我看到我们可以采取三种不同的途径:
>创建一个新区域,即’dmn.eng’.这可以由IT管理,使用我们的DNS服务器或使用其名称服务器进行工程设计.
>创建新的委托eng.example.com,将工程DNS合并到该子域中,让工程师管理委托的名称服务器.
>创建一个没有委派的新子域eng.example.com并自己管理子域的DNS.
我赞成创建一个委托子域,让工程师完全控制自己在该子域中的DNS结构.优点是,如果他们的DNS不起作用,那很可能不是我的错;).但是,当某些东西不起作用并且需要与工程部门协调以进行设置,配置和管理时,仍然存在一些关于责任的模糊性.
如果我们不委托子域,那意味着生产IT处理非生产DNS(我们基本上已经做了很多工作)的工作要多得多.优点是我们可以完全控制所有DNS,当某些东西不起作用时,毫无疑问,修复它的责任是什么.我们还可以添加代理,例如geo.eng.example.com,以便在需要时为工程提供更大的灵活性和控制.
我真的不确定创建一个新区域dmn.eng的必要性或好处.
那么针对这种情况的行业最佳实践和建议是什么?什么解决方案最简单的实现并在工程和生产之间提供无缝的名称解析?对于我可能缺少的每个解决方案,有哪些潜在的好处或陷阱?
为了增加更多信息,我们是一家规模相当大的制造公司.这些工程师在R& D,Development和QA中工作.实验室经常有自己的子网或整个网络,DHCP等.在组织和技术方面,它们都是他们自己的小世界.
我们希望为工程实验室和网络保持一定程度的网络隔离,以保护我们的生产环境(参考an earlier question关于将工程DHCP服务器添加为权威AD DHCP服务器的工程师 – 这是不应该发生的).但是,实验室工作站的用户需要访问我们生产网络中的资源,或者我们生产网络中工作站的用户需要连接到实验室系统,这种情况发生的频率足以证明排序合理 – 统一DNS.
现有代表已经拥有由工程管理的DNS服务器,但是在设置这些服务器的不同实验室中的工程师之间没有通信,因此最常见的问题是子域之间的名称解析失败.由于工程师拥有这些代理服务器,我无法更正NS条目以使它们相互通信 – 因此IT全资拥有的非委托DNS的优势.但是,管理用于生产和工程的DNS非常令人头疼,特别是因为工程可以每天进行DNS更改.但正如BigHomie在他的回答中提到的,这可能意味着工程师将不得不雇用(或指定)真正的DNS管理员;那个人和我必须要相当熟悉.
我不一定喜欢创建一个具有任意顶级域名或后缀的新区域的想法,但我们已经有5个具有任意名称的其他区域,因此合并为一个区域仍然是一个改进.我知道其他公司确实存在针对其组织中不同群体的单独顶级区域,所以我很好奇何时这是合适的,以及该方法的优点/缺点是什么.
仅供参考,我只在这家公司工作了几个月而之前的AD / DNS管理员离开了公司,因此我没有任何关于为什么存在任何现有DNS结构的参考.
