Temos o domínio primário de nossa organização (com o AD) example.com. No passado, os administradores anteriores criaram várias outras zonas - como dmn.com, lab.example.com, dmn-geo.com, etc. - além de subdomínios e representantes, todos para diferentes grupos de engenharia. Nosso DNS agora está um pouco bagunçado. E, claro, isso causa problemas quando alguém em uma estação de trabalho no example.com precisa se conectar a um sistema em qualquer uma dessas outras zonas / subdomínios, ou vice-versa (parcialmente porque a transferência de zona e a delegação não estão configuradas corretamente para a maioria deles) .
Nosso DNS de produção é integrado ao Active Directory, mas os sistemas de engenharia devem ser isolados do AD.
Estamos discutindo maneiras de reorganizar o DNS e consolidar todas essas entradas diferentes. Eu vejo três caminhos diferentes que podemos tomar:
- Crie uma nova zona, por exemplo, 'dmn.eng'. Isso pode ser gerenciado pela TI, usando nossos servidores DNS ou engenharia usando seus servidores de nomes.
- Crie um novo delegado eng.example.com, consolide o DNS de engenharia nesse subdomínio e permita que os engenheiros gerenciem o servidor de nomes para o delegado.
- Crie um novo subdomínio eng.example.com sem delegação e gerencie DNS para o subdomínio.
Sou a favor de criar um subdomínio de delegado e permitir que os engenheiros tenham controle total sobre sua própria estrutura de DNS nesse subdomínio. A vantagem é que, se o DNS deles não funcionar, provavelmente não é minha culpa;). No entanto, ainda existe alguma ambiguidade sobre a responsabilidade quando algo não funciona e exigirá coordenação com a engenharia para configurar, configurar e administrar.
Se não delegarmos o subdomínio, isso significará muito mais trabalho para a TI de produção que manipula o DNS de não produção (o qual já fazíamos praticamente já). A vantagem é que temos controle total sobre todo o DNS e, quando algo não funciona, não há dúvida sobre a responsabilidade de corrigi-lo. Também podemos adicionar delegados, como geo.eng.example.com, para dar mais flexibilidade e controle à engenharia quando eles precisarem.
Estou realmente incerto sobre a necessidade ou benefícios de criar uma nova zona, dmn.eng.
Quais são as melhores práticas e recomendações do setor para situações como essa? Qual solução seria a mais simples de implementar e fornecer uma resolução de nomes perfeita entre engenharia e produção? Quais são alguns possíveis benefícios ou armadilhas para cada solução que posso estar perdendo?
Para adicionar um pouco mais de informação, somos uma empresa de manufatura bastante grande. Esses engenheiros trabalham em pesquisa e desenvolvimento, desenvolvimento e controle de qualidade. Os laboratórios freqüentemente têm suas próprias sub-redes ou redes inteiras, DHCP, etc. No que diz respeito à organização e à tecnologia, elas são meio que um mundo pequeno.
Queremos manter algum nível de isolamento de rede para laboratórios de engenharia e redes, a fim de proteger nosso ambiente de produção (referência uma pergunta anterior sobre os engenheiros que adicionaram servidores DHCP de engenharia como servidores DHCP AD com autoridade - isso não deve acontecer. No entanto, um usuário em uma estação de trabalho em um laboratório precisará acessar um recurso em nossa rede de produção, ou um usuário em uma estação de trabalho em nossa rede de produção precisará se conectar a um sistema de laboratório, e isso acontece com frequência suficiente para justificar uma classificação -do DNS unificado.
Os representantes já existentes têm servidores DNS gerenciados por engenharia, mas não há comunicação entre os engenheiros nos diferentes laboratórios em que esses servidores estão configurados; portanto, o problema mais comum é a falha na resolução de nomes entre subdomínios. Como os engenheiros possuem esses servidores delegados, não posso corrigir as entradas do NS para que eles falem entre si - daí a vantagem do DNS não delegado de propriedade exclusiva da TI. Mas gerenciar o DNS para engenharia de produção e engenharia é uma dor de cabeça, especialmente porque a engenharia pode fazer alterações no DNS diariamente. Mas, como a BigHomie mencionou em sua resposta, isso provavelmente significa que a engenharia terá que contratar (ou designar) um administrador de DNS real; e essa pessoa e eu teremos que nos tornar razoavelmente bem familiarizados.
Eu não necessariamente gosto da idéia de criar uma nova zona com um nome de domínio ou sufixo arbitrário, mas nós já temos 5 outras zonas com nomes arbitrários, então consolidar em uma única é ainda uma melhoria. Eu sei que existem outras empresas que têm zonas de nível superior separadas para diferentes grupos em sua organização, por isso estou curioso sobre quando isso é apropriado e quais são as vantagens / desvantagens dessa abordagem.
FYI, eu só estive nessa empresa por alguns meses e o administrador AD / DNS anterior deixou a empresa, então não tenho nada para referenciar por que existe alguma estrutura DNS existente.