我们有组织的主域(带有AD)example.com。过去,以前的管理员创建了其他几个区域-dmn.com,lab.example.com,dmn-geo.com等-以及子域和委托,这些都是针对不同工程组的。现在我们的DNS有点混乱。当然,当example.com工作站上的某人需要连接到任何其他区域/子域中的系统时,这当然会引起问题,反之亦然(部分原因是大多数区域/区域的传递和委派未正确配置) 。
我们的生产DNS与Active Directory集成在一起,但工程系统应与AD隔离。
我们正在讨论重组DNS和合并所有这些不同条目的方法。我看到我们可以采取三种不同的方法:
- 创建一个新区域,即“ dmn.eng”。这可以由IT使用我们的DNS服务器进行管理,也可以使用其名称服务器进行工程设计。
- 创建一个新的委托eng.example.com,将工程DNS合并到该子域中,然后让工程师管理该委托的名称服务器。
- 创建一个没有委派的新子域eng.example.com,并自行管理该子域的DNS。
我更喜欢创建一个代理子域,并让工程师完全控制该子域中自己的DNS结构。好处是,如果他们的DNS不起作用,则很可能不是我的错;)。但是,当某些事情不起作用时,责任仍然存在一些歧义,这需要与工程部门进行协调才能进行设置,配置和管理。
如果我们不委托子域,则意味着生产IT处理非生产DNS的工作量将大大增加(实际上,我们已经做了很多工作)。这样做的好处是,我们可以完全控制所有DNS,并且当某些问题不起作用时,毫无疑问,修复它是谁的责任。我们还可以添加诸如geo.eng.example.com之类的委托,以便在工程人员需要时提供更多的灵活性和控制力。
我真的不确定创建一个新区域dmn.eng的必要性或好处。
那么,针对此类情况的行业最佳实践和建议是什么?哪种解决方案是最简单的实施方案,并且可以在工程和生产之间提供无缝的名称解析?我可能会缺少的每个解决方案有哪些潜在的好处或陷阱?
要添加更多信息,我们是一家相当大的制造公司。这些工程师从事研发,开发和质量检查工作。实验室通常拥有自己的子网或整个网络,DHCP等。就组织和技术而言,它们是他们自己的小世界。
我们希望为工程实验室和网络保持某种程度的网络隔离,以保护我们的生产环境(请参考之前有关将工程DHCP服务器添加为权威AD DHCP服务器的工程师的问题 -这应该不会发生)。但是,实验室中工作站上的用户将需要访问我们生产网络中的资源,或者我们生产网络上工作站上的用户将需要连接到实验室系统,并且这种发生的频率足以证明一种分类的合理性。 -统一DNS。
现有的委托人已经拥有由工程部门管理的DNS服务器,但是在设置这些服务器的不同实验室中的工程师之间没有通信,因此,最常见的问题是子域之间的名称解析失败。由于工程师拥有这些代理服务器,因此我无法更正NS条目以使它们相互通信-因此,这是IT完全拥有的未委派DNS的优势。但是为生产和工程管理DNS 是一件令人头疼的事情,特别是因为工程可以每天对DNS进行更改。但是正如BigHomie在回答中提到的那样,这可能意味着工程将不得不雇用(或指定)一个真正的DNS管理员。而且我和那个人必须非常熟悉。
我不一定喜欢创建一个具有任意顶级域名或后缀的新区域的想法,但是我们已经拥有其他五个具有任意名称的区域,因此将其合并为一个区域仍然是一个改进。我确实知道存在其他公司,这些公司在其组织中的不同小组中确实设有单独的顶层区域,因此我很好奇何时合适以及该方法的优点/缺点是什么。
仅供参考,我只在这家公司呆了几个月,而以前的AD / DNS管理员也离开了公司,所以对于为什么存在任何现有的DNS结构,我没有任何可参考之处。
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.老实说,这则评论使我怀疑是否应该考虑为工程设计一个单独的AD林。