วิศวกรรมควรมีเขต DNS ของตนเอง, ผู้รับมอบสิทธิ์หรือโดเมนย่อยหรือไม่?


15

เรามีโดเมนหลักขององค์กร (พร้อมโฆษณา) example.com ในอดีตผู้ดูแลระบบคนก่อนหน้าได้สร้างโซนอื่น ๆ อีกหลายแห่ง - เช่น dmn.com, lab.example.com, dmn-geo.com เป็นต้น - รวมถึงโดเมนย่อยและผู้รับมอบสิทธิ์ทั้งหมดนี้มีไว้สำหรับกลุ่มวิศวกรรมที่แตกต่างกัน DNS ของเราตอนนี้ค่อนข้างยุ่งเหยิง และแน่นอนว่าสิ่งนี้ทำให้เกิดปัญหาเมื่อมีคนที่เวิร์กสเตชันใน example.com จำเป็นต้องเชื่อมต่อกับระบบในโซน / โดเมนย่อยอื่น ๆ เหล่านี้หรือในทางกลับกัน (บางส่วนเนื่องจากการถ่ายโอนและการมอบหมายโซนไม่เหมาะสมสำหรับพวกเขาส่วนใหญ่) .

DNS การผลิตของเรานั้นรวมอยู่กับ Active Directory แต่ระบบวิศวกรรมควรแยกออกจาก AD

เรากำลังพูดถึงวิธีการจัดระเบียบ DNS ใหม่และรวบรวมรายการต่างๆเหล่านี้ทั้งหมด ฉันเห็นสามเส้นทางที่แตกต่างกันที่เราสามารถทำได้:

  • สร้างโซนใหม่เช่น 'dmn.eng' สิ่งนี้สามารถจัดการได้โดย IT โดยใช้เซิร์ฟเวอร์ DNS ของเราหรือวิศวกรรมโดยใช้เนมเซิร์ฟเวอร์ของพวกเขา
  • สร้าง eng.example.com ผู้รับมอบสิทธิ์ใหม่รวม DNS วิศวกรรมลงในโดเมนย่อยนั้นและให้วิศวกรจัดการเนมเซิร์ฟเวอร์สำหรับผู้รับมอบสิทธิ์
  • สร้างโดเมนย่อยใหม่ eng.example.com โดยไม่มีการมอบหมายและจัดการ DNS สำหรับโดเมนย่อยเอง

ฉันชอบที่จะสร้างผู้รับมอบสิทธิ์โดเมนย่อยและให้วิศวกรสามารถควบคุมโครงสร้าง DNS ของตนเองภายในโดเมนย่อยนั้นได้อย่างเต็มที่ ข้อดีคือถ้า DNS ของพวกเขาใช้งานไม่ได้เป็นไปได้มากว่าไม่ใช่ความผิดของฉัน) อย่างไรก็ตามยังมีความคลุมเครือเกี่ยวกับความรับผิดชอบเมื่อบางสิ่งไม่ทำงานและจะต้องประสานงานกับวิศวกรรมเพื่อตั้งค่ากำหนดค่าและจัดการ

หากเราไม่ได้มอบหมายโดเมนย่อยนั่นหมายถึงการทำงานมากขึ้นสำหรับการผลิตไอทีที่จัดการกับ DNS ที่ไม่ได้ใช้งานจริง ข้อดีคือเราสามารถควบคุม DNS ทั้งหมดได้อย่างสมบูรณ์และเมื่อบางสิ่งบางอย่างไม่ทำงานไม่มีข้อสงสัยเกี่ยวกับความรับผิดชอบที่จะต้องแก้ไข นอกจากนี้เรายังสามารถเพิ่มผู้ได้รับมอบหมายเช่น geo.eng.example.com เพื่อให้ความยืดหยุ่นและการควบคุมทางวิศวกรรมมากขึ้นเมื่อพวกเขาต้องการ

ฉันไม่แน่ใจจริงๆเกี่ยวกับความจำเป็นหรือประโยชน์ของการสร้างโซนใหม่ dmn.eng

ดังนั้นแนวปฏิบัติที่ดีที่สุดในอุตสาหกรรมและคำแนะนำสำหรับสถานการณ์เช่นนี้คืออะไร โซลูชันใดที่จะใช้งานได้ง่ายที่สุดและให้การจำแนกชื่อที่ราบรื่นระหว่างวิศวกรรมและการผลิต อะไรคือประโยชน์หรือข้อผิดพลาดที่อาจเกิดขึ้นกับแต่ละโซลูชันที่ฉันอาจหายไป


หากต้องการเพิ่มข้อมูลเพิ่มเติมเราเป็น บริษัท ผู้ผลิตขนาดใหญ่พอสมควร วิศวกรเหล่านี้ทำงานในการวิจัยและพัฒนาการพัฒนาและควบคุมคุณภาพ Labs มักมีเครือข่ายย่อยของตนเองหรือเครือข่ายทั้งหมด DHCP และอื่น ๆ สำหรับองค์กรและเทคโนโลยีพวกเขาเป็นโลกเล็ก ๆ ของพวกเขาเอง

เราต้องการรักษาระดับการแยกเครือข่ายสำหรับห้องปฏิบัติการทางวิศวกรรมและเครือข่ายในระดับหนึ่งเพื่อปกป้องสภาพแวดล้อมการผลิตของเรา (อ้างอิงคำถามก่อนหน้าเกี่ยวกับวิศวกรที่เพิ่มเซิร์ฟเวอร์ DHCP ทางวิศวกรรมเป็นเซิร์ฟเวอร์ AD DHCP ที่เชื่อถือได้ - ซึ่งไม่น่าจะเกิดขึ้นได้) อย่างไรก็ตามผู้ใช้ที่เวิร์กสเตชันในห้องปฏิบัติการจะต้องเข้าถึงทรัพยากรในเครือข่ายการผลิตของเราหรือผู้ใช้ที่เวิร์กสเตชันในเครือข่ายการผลิตของเราจะต้องเชื่อมต่อกับระบบห้องปฏิบัติการและสิ่งนี้เกิดขึ้นกับความถี่เพียงพอที่จะจัดเรียง - ของ DNS รวม

ผู้รับมอบสิทธิ์ที่มีอยู่แล้วมีเซิร์ฟเวอร์ DNS ที่จัดการโดยวิศวกรรม แต่ไม่มีการสื่อสารระหว่างวิศวกรในแล็บต่าง ๆ ที่ติดตั้งเซิร์ฟเวอร์เหล่านี้ดังนั้นปัญหาที่พบบ่อยที่สุดคือการแก้ไขชื่อระหว่างโดเมนย่อย เนื่องจากวิศวกรเป็นเจ้าของเซิร์ฟเวอร์ผู้มอบสิทธิ์เหล่านั้นฉันจึงไม่สามารถแก้ไขรายการ NS เพื่อให้พวกเขาพูดคุยกันได้ดังนั้นจึงเป็นข้อได้เปรียบของ DNS ที่ไม่ได้รับมอบหมายซึ่งไอทีเป็นเจ้าของ แต่การจัดการ DNS สำหรับการผลิตและวิศวกรรมนั้นเป็นเรื่องที่ปวดหัวโดยเฉพาะอย่างยิ่งเมื่อวิศวกรรมสามารถเปลี่ยนแปลง DNS ได้ทุกวัน แต่ดังที่ BigHomie พูดถึงในคำตอบของเขานี่อาจหมายถึงวิศวกรรมจะต้องจ้าง (หรือกำหนด) ผู้ดูแลระบบ DNS ที่แท้จริง และบุคคลนั้นกับฉันจะต้องคุ้นเคยดี

ฉันไม่ชอบความคิดในการสร้างโซนใหม่ด้วยชื่อโดเมนระดับบนสุดหรือคำต่อท้าย แต่เรามีโซนอื่นอีก 5 โซนที่มีชื่อตามอำเภอใจดังนั้นการรวมเป็นหนึ่งเดียวยังคงเป็นการปรับปรุง ฉันรู้ว่ามี บริษัท อื่นที่มีโซนระดับบนสุดแยกต่างหากสำหรับกลุ่มต่าง ๆ ในองค์กรของพวกเขาดังนั้นฉันอยากรู้ว่าเมื่อใดที่เหมาะสมและข้อดี / ข้อเสียของวิธีการนั้นคืออะไร

FYI, ฉันอยู่ที่ บริษัท นี้มาสองสามเดือนแล้วและผู้ดูแลระบบ AD / DNS คนก่อนหน้านั้นออกจาก บริษัท ดังนั้นฉันจึงไม่มีอะไรที่จะอ้างอิงได้ว่าทำไมโครงสร้าง DNS ที่มีอยู่เดิม


คำตอบที่อัปเดตขึ้นอยู่กับข้อมูลเพิ่มเติม
MDMoore313

1
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.ความคิดเห็นนี้ทำให้ฉันสงสัยว่าบางทีคุณควรพิจารณามีป่าโฆษณาแยกต่างหากสำหรับงานวิศวกรรมอย่างสุจริต
HopelessN00b

2
@ HopelessN00b นั่นเป็นสิ่งที่เราคุยกัน ฉันต้องการหลีกเลี่ยงเพราะมันเพิ่มคำถามเป็นสี่เท่า และแน่นอนว่าวิศวกรรมต้องการการควบคุมและความยืดหยุ่นทั้งหมด แต่ไม่มีความรับผิดชอบ - "ให้เราจัดการมันจนกว่ามันจะหยุดพักจากนั้นคุณก็ซ่อมมัน"
โทมัส

คำตอบ:


14

ในโลกปัจจุบันฉันไม่แนะนำให้สร้างโซนใหม่ที่มีโดเมนระดับบนสุดตามอำเภอใจเนื่องจากสิ่งเหล่านี้อาจทำให้กลายเป็น "DNS อย่างเป็นทางการ" ได้ทุกเวลา

โดยส่วนตัวแล้วผมจะชอบสถานการณ์จำลองการมอบหมายโดเมนย่อยตามที่ดูเหมือนจะเหมาะสมกับสิ่งที่คุณพยายามทำ (รวม แต่ให้การควบคุมทางวิศวกรรม)

บางทีคุณสามารถค้นหาเว็บส่วนหน้าสำหรับ MS DNS ที่วิศวกรรมสามารถเพิ่ม / ลบระเบียนเพื่อให้เซิร์ฟเวอร์ตัวเองยังคงเป็นเจ้าของโดยการผลิตไอทีและสิ่งเดียวที่ "พวกเขา" จัดการคือรายการ DNS


14

แรกและสำคัญที่สุดให้แน่ใจว่าคุณเป็นเจ้าของ domain.tld ที่คุณวางแผนที่จะใช้ (mit.edu) แม้ว่าสิ่งนี้จะไม่เชื่อมต่อกับอินเทอร์เน็ต แต่นั่นไม่ใช่ประเด็น

มีประโยชน์มากในการมีลำดับชั้นของ dns ที่อย่างน้อยค่อนข้างตรงกับ org ฉันเพิ่งเห็นสิ่งนี้ทำเมื่อมีคน / คนที่จะจัดการแผนกนั้นในแง่ของการสนับสนุนด้านไอที นี่คือเกี่ยวกับการมีโซนแยกต่างหากสำหรับวัตถุประสงค์ของการโฆษณา ที่อยู่เว็บและอื่น ๆ เป็นหัวข้อแยกต่างหากและสิ่งนี้จะไม่นำไปใช้กับสิ่งนั้น ฉันไม่มีหรือรู้กฎที่ยากและรวดเร็วใด ๆ สำหรับลำดับชั้นของ DNS ฉันเชื่อว่าความต้องการขององค์กรของคุณจะกำหนดไว้ บางโซนอาจต้องการโดเมนย่อย (eng.mit.edu) และบางส่วนจะไม่ (hr.mit.edu เป็นต้น) แน่นอนว่ายังมีควรจะมีเพียงหนึ่งโดเมนระดับบนสุดเพื่อความมั่นคง

สิ่งที่กำหนดว่าแผนกต้องการโดเมนย่อยหรือไม่ หากนี่สำหรับเวิร์กสเตชันพวกเขามีการสนับสนุนด้านไอทีของตนเองหรือผู้ที่สามารถจัดการระบบดังกล่าวได้หรือไม่? ถ้าไม่มีจริง ๆ แล้วไม่มีประโยชน์ในการใช้โซน DNS เพื่อระบุว่าเครื่องอยู่ในแผนกที่แน่นอนมีวิธีการอื่น ๆ อีกมากมายที่จะทำงานได้ดี นี่เป็นเพียงคำถามที่คุณจะต้องถามตัวเอง

ฉันจะประเมินแต่ละโซนอีกครั้งและพิจารณา

  1. ถ้ามันยังเกี่ยวข้อง มีเซิร์ฟเวอร์หรือเวิร์กสเตชันที่ชี้ไปที่อะไรในโซนนั้นหรือไม่?

  2. ใครจะเป็นผู้จัดการโซนใหม่ มันจะไปโดยไม่บอกว่าโซนจะต้องถูกโยกย้ายไปยังลำดับชั้นใหม่ของคุณ แต่คุณเพิ่งใช้ข้อมูลการส่งต่อที่อยู่ / ชื่อเซิร์ฟเวอร์สำหรับโซนหรือคุณจะจัดการโซน?

สิ่งที่ระบบ 'แยก' จากการโฆษณา? สิ่งเหล่านี้จะไม่ต้องการการรับรองความถูกต้องเครือข่ายและ / หรือการจัดการ? อะไรคือสาเหตุของการแยกพวกเขาออกจากมุมมอง DNS เพื่อยืนยันข้อสงสัยของคุณทั้งหมดเกี่ยวกับการจัดการที่ง่ายดาย ถ้าวิศวกรรมความต้องการที่บริหาร DNS มากพวกเขาควรจะได้รับตัวเองเป็นผู้ดูแลระบบ DNS

หากต้องการเพิ่มข้อมูลตามการอัปเดตของคุณฉันจะให้โดเมนย่อยของตนเองeng.spacelysprockets.comและซับเน็ตด้วย ควรไฟร์วอลล์จากส่วนที่เหลือของเครือข่ายด้วยการรับส่งข้อมูลที่เหมาะสมผ่าน หากพวกเขาต้องการออกไปและสร้างeng.eng.localหรือeng.bikesคุณไม่สามารถหยุดพวกเขาและคุณไม่ควรถูกบังคับให้สนับสนุน *

หากพวกเขาเล่นดีใช้ subzone และตัดสินใจว่าพวกเขาต้องการที่จะทำลายlab.eng.spacelysprockets.comและส่วนหนึ่งของเครือข่ายย่อยนั่นคือพวกเขา มันอาจจะเป็นมารยาทอย่างมืออาชีพที่จะบอกให้คุณรู้เพื่อให้คุณสามารถแบ่งกลุ่มการจราจรนั้นได้ แต่ทุกคนไม่คิดอย่างนั้น

ชื่อโดเมนจริงสำหรับโครงสร้างพื้นฐานของคุณจะให้ประโยชน์กับการจัดการอย่างจริงจังคุณควรพิจารณา

* คุณควรและจะให้คุณเป็นสองสิ่งที่แตกต่างกัน แต่ฉันเชือนแช

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.