A engenharia deve ter sua própria zona DNS, delegar ou subdomínio?

15

Temos o domínio principal da nossa organização (com AD) example.com. No passado, os administradores anteriores criaram várias outras zonas - como dmn.com, lab.example.com, dmn-geo.com etc. -, além de subdomínios e delegados, todos eles para diferentes grupos de engenharia. Nosso DNS agora está um pouco confuso. E é claro que isso causa problemas quando alguém em uma estação de trabalho no example.com precisa se conectar a um sistema em qualquer uma dessas outras zonas / subdomínios, ou vice-versa (parcialmente porque a transferência e delegação de zona não estão configuradas corretamente para a maioria delas) .

Nosso DNS de produção é integrado ao Active Directory, mas os sistemas de engenharia devem ser isolados do AD.

Estamos discutindo maneiras de reorganizar o DNS e consolidar todas essas entradas diferentes. Vejo três caminhos diferentes que podemos seguir:

  • Crie uma nova zona, ou seja, 'dmn.eng'. Isso pode ser gerenciado por TI, usando nossos servidores DNS ou engenharia usando seus servidores de nomes.
  • Crie um novo representante eng.example.com, consolide o DNS de engenharia nesse subdomínio e permita que os engenheiros gerenciem o servidor de nomes para o delegado.
  • Crie um novo subdomínio eng.example.com sem delegação e gerencie o DNS para o subdomínio.

Eu sou a favor de criar um subdomínio delegado e permitir que os engenheiros tenham controle total sobre sua própria estrutura DNS dentro desse subdomínio. A vantagem é que, se o DNS deles não funcionar, provavelmente não é minha culpa;). No entanto, ainda há alguma ambiguidade sobre a responsabilidade quando algo não funciona e exigirá coordenação com a engenharia para instalar, configurar e administrar.

Se não delegarmos o subdomínio, isso significa muito mais trabalho para a TI de produção que lida com DNS de não produção (o que já realizamos bastante). A vantagem é que temos controle total sobre todo o DNS e, quando algo não funciona, não há dúvida sobre de quem é a responsabilidade de corrigi-lo. Também podemos adicionar delegados, como geo.eng.example.com, para dar mais flexibilidade e controle à engenharia quando eles precisarem.

Estou realmente incerto sobre a necessidade ou os benefícios de criar uma nova zona, dmn.eng.

Então, quais são as melhores práticas e recomendações do setor para situações como essa? Qual solução seria a mais simples de implementar e fornecer uma resolução de nomes perfeita entre engenharia e produção? Quais são os possíveis benefícios ou armadilhas para cada solução que eu possa estar perdendo?

Para adicionar um pouco mais de informação, somos uma empresa de fabricação bastante grande. Esses engenheiros trabalham em P&D, desenvolvimento e controle de qualidade. Os laboratórios costumam ter suas próprias sub-redes ou redes inteiras, DHCP etc. No que diz respeito à organização e tecnologia, eles são uma espécie de seu pequeno mundo.

Queremos manter um certo nível de isolamento de rede para laboratórios e redes de engenharia, a fim de proteger nosso ambiente de produção (faça referência a uma pergunta anterior sobre engenheiros que adicionaram servidores DHCP de engenharia como servidores oficiais do AD DHCP - que não deve ser possível). No entanto, um usuário em uma estação de trabalho em um laboratório precisará acessar um recurso em nossa rede de produção ou um usuário em uma estação de trabalho em nossa rede de produção precisará se conectar a um sistema de laboratório, e isso acontece com frequência suficiente para justificar uma classificação do DNS unificado.

Os delegados existentes já têm servidores DNS gerenciados pela engenharia, mas não há comunicação entre os engenheiros nos diferentes laboratórios em que esses servidores estão configurados; portanto, o problema mais comum é a falha na resolução de nomes entre subdomínios. Como os engenheiros são proprietários desses servidores delegados, não posso corrigir as entradas NS para que eles conversem entre si - daí a vantagem do DNS não delegado pertencente à TI. Porém, gerenciar o DNS para produção e engenharia é uma dor de cabeça, especialmente porque a engenharia pode fazer alterações no DNS diariamente. Mas, como BigHomie mencionou em sua resposta, isso provavelmente significa que a engenharia terá que contratar (ou designar) um administrador de DNS real; e essa pessoa e eu teremos que nos familiarizar bastante.

Também não gosto necessariamente da idéia de criar uma nova zona com um nome de domínio ou sufixo arbitrário de nível superior, mas já temos outras 5 zonas com nomes arbitrários, portanto, consolidar em uma única ainda é uma melhoria. Sei que existem outras empresas que possuem zonas separadas de nível superior para diferentes grupos em sua organização, por isso estou curioso sobre quando isso é apropriado e quais são as vantagens / desvantagens dessa abordagem.

Para sua informação, eu só estive nesta empresa por alguns meses e o administrador anterior do AD / DNS deixou a empresa, então não tenho nada a referir sobre o motivo de existir alguma estrutura DNS existente.

domain-name-system  internal-dns  dns-zone  subdomain 
Thomas
fonte
Resposta atualizada com base em mais informações.
MDMoore313
1
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.Esse comentário me faz pensar se talvez você deva considerar uma floresta AD separada para engenharia, honestamente.
HopelessN00b
2
@ HopelessN00b que foi algo que discutimos. Eu quero evitar isso, porque quadruplica a pergunta "Quem administra?" e, claro, a engenharia deseja todo o controle e flexibilidade, mas nenhuma responsabilidade - "Vamos administrá-lo até que ele quebre, então você o corrige".
Thomas Thomas

Respostas:

14

No mundo de hoje, eu não recomendo a criação de novas zonas com domínios arbitrários de nível superior , pois eles podem transformá-lo em "DNS oficial" a qualquer momento.

Pessoalmente, eu seria a favor do cenário de delegação de subdomínios, pois parece adequado ao que você tenta fazer. (Consolide, mas dê controle à engenharia)

Talvez você possa até encontrar um front-end da Web para o MS DNS, onde a engenharia pode adicionar / remover registros, para que o próprio servidor ainda seja de propriedade da TI de produção e a única coisa que eles gerenciam são as entradas de DNS.

MichelZ
fonte
14

Em primeiro lugar, verifique se você possui o domínio.tld que planeja usar (mit.edu). Mesmo que isso nunca se conecte à Internet, esse não é o ponto.

Há enormes benefícios para ter uma hierarquia de dns que pelo menos um pouco coincide com a org. Só vi isso acontecer quando há alguém / pessoas para gerenciar esse departamento em termos de suporte de TI. Isso se refere a ter zonas separadas para os fins do AD. Os endereços da Web e etc são um tópico separado e isso não se aplica a isso. Eu não tenho ou conheço regras rígidas para a hierarquia de DNS, acredito que as necessidades da sua organização ditarão isso. Algumas zonas podem exigir um subdomínio (eng.mit.edu) e outras não (hr.mit.edu, por exemplo). Obviamente, deve haver apenas um domínio de nível superior para obter consistência.

Dito isto, o que determina se um departamento precisa ou não de um subdomínio? Se for para estações de trabalho, eles têm seu próprio suporte de TI ou pessoas capazes de gerenciar esse sistema? Caso contrário, não há realmente sentido em usar uma zona DNS para especificar que uma máquina está em um determinado departamento, existem vários outros métodos que farão o trabalho muito bem. Estas são apenas perguntas que você terá que se perguntar.

Eu reavaliaria cada zona e determinava

  1. Se ainda é relevante. Existem servidores ou estações de trabalho ainda apontando para algo nessa zona?

  2. Quem estará gerenciando a nova zona. Escusado será dizer que a zona terá que ser migrada para sua nova hierarquia, mas você acabou de implementar uma informação de endereço de encaminhamento / servidor de nomes para a zona ou gerenciará ativamente a zona?

Quais sistemas são 'isolados' do AD? Isso não exigirá autenticação e / ou gerenciamento de rede? Qual o motivo para separá-los da perspectiva do DNS? Para confirmar suas suspeitas, é tudo sobre facilidade de gerenciamento. Se a engenharia precisa que a administração de DNS muito, eles devem obter-se um administrador de DNS.

Para adicionar informações com base na sua atualização, eu pessoalmente daria a eles seu próprio subdomínio eng.spacelysprockets.come sub-rede. Ele deve ser protegido por firewall do resto da rede com o tráfego apropriado permitido. Se eles querem sair e criar eng.eng.localou eng.bikesvocê não pode detê-los, nem deve ser forçado a apoiar isso *.

Se eles tiverem bom desempenho, use a subzona e decidam que desejam interromper lab.eng.spacelysprockets.come uma parte da sub-rede, que está neles. Provavelmente deve ser uma cortesia profissional informar você para que você possa segmentar esse tráfego também, mas todo mundo não pensa assim.

Um nome de domínio real para sua infraestrutura daria a você uma vantagem no gerenciamento, considere-o.

* Caso você e vai te são duas coisas diferentes, mas eu discordo.

MDMoore313
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.