Kami memiliki domain utama organisasi kami (dengan AD) example.com. Di masa lalu, admin sebelumnya telah membuat beberapa zona lain - seperti dmn.com, lab.example.com, dmn-geo.com dll - serta subdomain dan delegasi yang semuanya untuk kelompok teknik berbeda. DNS kami saat ini agak berantakan. Dan tentu saja ini menyebabkan masalah ketika seseorang di workstation di example.com perlu terhubung ke sistem di salah satu zona / subdomain lain ini, atau sebaliknya (sebagian karena transfer zona dan delegasi tidak dikonfigurasi dengan benar untuk sebagian besar dari mereka) .
DNS produksi kami terintegrasi dengan Active Directory, tetapi sistem teknik harus diisolasi dari AD.
Kami sedang mendiskusikan cara mengatur ulang DNS dan menggabungkan semua entri yang berbeda ini. Saya melihat tiga jalan berbeda yang bisa kita ambil:
- Buat zona baru yaitu 'dmn.eng'. Ini bisa dikelola oleh TI, menggunakan server DNS kami atau rekayasa menggunakan server nama mereka.
- Buat delegasi baru eng.example.com, gabungkan DNS teknik ke dalam subdomain itu, dan biarkan teknisi mengelola server nama untuk delegasi tersebut.
- Buat subdomain baru eng.example.com tanpa delegasi dan kelola DNS untuk subdomain sendiri.
Saya lebih suka membuat subdomain delegasi dan membiarkan para insinyur memiliki kontrol penuh atas struktur DNS mereka sendiri dalam subdomain itu. Keuntungannya adalah jika DNS mereka tidak berfungsi, kemungkinan besar itu bukan kesalahan saya;). Namun, masih ada beberapa ambiguitas tentang tanggung jawab ketika sesuatu tidak bekerja dan akan membutuhkan koordinasi dengan teknik untuk mengatur, mengkonfigurasi, dan mengelola.
Jika kami tidak mendelegasikan subdomain, itu berarti lebih banyak pekerjaan untuk produksi yang menangani DNS non-produksi (yang pada dasarnya sudah kami lakukan). Keuntungannya adalah bahwa kami memiliki kontrol penuh atas semua DNS dan ketika sesuatu tidak berfungsi, tidak ada keraguan tentang siapa yang bertanggung jawab untuk memperbaikinya. Kami juga dapat menambahkan delegasi, seperti geo.eng.example.com, untuk memberikan rekayasa lebih banyak fleksibilitas dan kontrol ketika mereka membutuhkannya.
Saya benar-benar tidak yakin tentang perlunya atau manfaat dari menciptakan zona baru, dmn.eng.
Jadi apa praktik terbaik dan rekomendasi industri untuk situasi seperti ini? Solusi apa yang paling sederhana untuk diterapkan dan memberikan resolusi nama yang mulus antara teknik dan produksi? Apa beberapa manfaat atau jebakan potensial untuk setiap solusi yang mungkin saya lewatkan?
Untuk menambahkan sedikit informasi, kami adalah perusahaan manufaktur yang cukup besar. Para insinyur ini bekerja di R&D, Pengembangan, dan QA. Lab sering memiliki subnet sendiri atau seluruh jaringan, DHCP, dll. Dalam hal organisasi dan teknologi, mereka adalah jenis dunia kecil mereka sendiri.
Kami ingin mempertahankan beberapa tingkat isolasi jaringan untuk lab dan jaringan teknik guna melindungi lingkungan produksi kami (rujuk pertanyaan sebelumnya tentang teknisi yang menambahkan server DHCP rekayasa sebagai server DHCP AD yang otoritatif - yang seharusnya tidak dapat terjadi). Namun, pengguna di stasiun kerja di lab akan perlu mengakses sumber daya di jaringan produksi kami, atau pengguna di stasiun kerja di jaringan produksi kami harus terhubung ke sistem lab, dan ini terjadi dengan frekuensi yang cukup untuk membenarkan penyortiran. -dari DNS terpadu.
Delegasi yang ada sudah memiliki server DNS yang dikelola oleh teknik, tetapi tidak ada komunikasi antara insinyur di laboratorium yang berbeda di mana server ini diatur, sehingga masalah yang paling umum adalah resolusi nama yang gagal di antara subdomain. Karena para insinyur memiliki server delegasi tersebut, saya tidak dapat memperbaiki entri NS untuk membuat mereka berbicara satu sama lain - maka keuntungan dari DNS yang tidak didelegasikan sepenuhnya dimiliki oleh IT. Tetapi mengelola DNS untuk produksi dan rekayasa merupakan hal yang sulit, terutama karena rekayasa dapat membuat perubahan DNS setiap hari. Tetapi seperti yang dikatakan BigHomie dalam jawabannya, ini mungkin berarti rekayasa harus merekrut (atau menunjuk) admin DNS asli; dan orang itu dan saya harus berkenalan dengan cukup baik.
Saya tidak serta-merta menyukai gagasan membuat zona baru dengan sembarang nama domain tingkat atas atau sufiks, tetapi kami sudah memiliki 5 zona lain dengan nama sewenang-wenang sehingga menggabungkannya menjadi satu pun masih merupakan peningkatan. Saya tahu bahwa ada perusahaan lain yang memiliki zona tingkat atas yang terpisah untuk berbagai kelompok dalam organisasi mereka, jadi saya ingin tahu kapan itu tepat dan apa kelebihan / kekurangan dari pendekatan itu.
FYI, saya hanya berada di perusahaan ini selama beberapa bulan dan admin AD / DNS sebelumnya meninggalkan perusahaan, jadi saya tidak punya referensi tentang mengapa ada struktur DNS yang ada.
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.
Komentar ini membuat saya bertanya-tanya apakah mungkin Anda harus mempertimbangkan memiliki hutan AD terpisah untuk rekayasa, jujur.