Nous avons le domaine principal de notre organisation (avec AD) example.com. Dans le passé, les administrateurs précédents ont créé plusieurs autres zones - telles que dmn.com, lab.example.com, dmn-geo.com etc. - ainsi que des sous-domaines et des délégués qui sont tous pour différents groupes d'ingénierie. Notre DNS en ce moment est un peu en désordre. Et bien sûr, cela pose des problèmes lorsque quelqu'un sur un poste de travail dans example.com doit se connecter à un système dans l'un de ces autres zones / sous-domaines, ou vice versa (en partie parce que le transfert et la délégation de zone ne sont pas correctement configurés pour la plupart d'entre eux) .
Notre DNS de production est intégré à Active Directory, mais les systèmes d'ingénierie doivent être isolés d'AD.
Nous discutons des moyens de réorganiser le DNS et de consolider toutes ces différentes entrées. Je vois trois avenues différentes que nous pouvons emprunter:
- Créez une nouvelle zone, c'est-à-dire 'dmn.eng'. Cela pourrait être géré par l'informatique, à l'aide de nos serveurs DNS ou par l'ingénierie à l'aide de leurs serveurs de noms.
- Créez un nouveau délégué eng.example.com, consolidez l'ingénierie DNS dans ce sous-domaine et laissez les ingénieurs gérer le serveur de noms pour le délégué.
- Créez un nouveau sous-domaine eng.example.com sans délégation et gérez nous-mêmes le DNS pour le sous-domaine.
Je préfère créer un sous-domaine délégué et laisser les ingénieurs avoir un contrôle total sur leur propre structure DNS au sein de ce sous-domaine. L'avantage est que si leur DNS ne fonctionne pas, ce n'est probablement pas de ma faute;). Cependant, il y a toujours une certaine ambiguïté sur la responsabilité quand quelque chose ne fonctionne pas et il faudra une coordination avec l'ingénierie pour installer, configurer et administrer.
Si nous ne déléguons pas le sous-domaine, cela signifie beaucoup plus de travail pour le service informatique de production qui gère le DNS non-production (ce que nous avons déjà fait beaucoup). L'avantage est que nous avons un contrôle total sur tous les DNS et lorsque quelque chose ne fonctionne pas, il n'y a aucun doute sur la responsabilité de la réparer. Nous pouvons également ajouter des délégués, tels que geo.eng.example.com, pour donner à l'ingénierie plus de flexibilité et de contrôle quand ils en ont besoin.
Je ne suis vraiment pas certain de la nécessité ou des avantages de créer une nouvelle zone, dmn.eng.
Quelles sont donc les meilleures pratiques et recommandations de l'industrie pour des situations comme celle-ci? Quelle solution serait la plus simple à mettre en œuvre et à fournir une résolution transparente des noms entre l'ingénierie et la production? Quels sont les avantages ou les pièges potentiels de chaque solution qui pourraient me manquer?
Pour ajouter un peu plus d'informations, nous sommes une assez grande entreprise manufacturière. Ces ingénieurs travaillent dans la R&D, le développement et l'AQ. Les laboratoires ont souvent leurs propres sous-réseaux ou réseaux entiers, DHCP, etc. En ce qui concerne l'organisation et la technologie, ils sont en quelque sorte leur propre petit monde.
Nous voulons maintenir un certain niveau d'isolement du réseau pour les laboratoires d'ingénierie et les réseaux afin de protéger notre environnement de production (référence à une question précédente concernant les ingénieurs qui ont ajouté des serveurs DHCP d'ingénierie en tant que serveurs DHCP AD faisant autorité - cela ne devrait pas être possible). Cependant, un utilisateur d'un poste de travail dans un laboratoire devra accéder à une ressource de notre réseau de production, ou un utilisateur d'un poste de travail de notre réseau de production devra se connecter à un système de laboratoire, et cela se produit avec une fréquence suffisante pour justifier un tri. -de DNS unifié.
Les délégués existants ont déjà des serveurs DNS gérés par l'ingénierie, mais il n'y a pas de communication entre les ingénieurs des différents laboratoires où ces serveurs sont installés, donc le problème le plus courant est l'échec de la résolution de noms entre les sous-domaines. Étant donné que les ingénieurs possèdent ces serveurs délégués, je ne peux pas corriger les entrées NS pour les faire parler entre eux - d'où l'avantage du DNS non délégué entièrement détenu par l'informatique. Mais la gestion du DNS pour la production et l' ingénierie est un casse-tête, d'autant plus que l'ingénierie peut apporter des changements DNS quotidiennement. Mais comme BigHomie l'a mentionné dans sa réponse, cela signifie probablement que l'ingénierie devra embaucher (ou désigner) un véritable administrateur DNS; et cette personne et moi devrons nous familiariser assez bien.
Je n'aime pas nécessairement l'idée de créer une nouvelle zone avec un nom de domaine ou un suffixe de niveau supérieur non plus, mais nous avons déjà 5 autres zones avec des noms arbitraires, donc la consolidation en une seule est toujours une amélioration. Je sais qu'il existe d'autres entreprises qui ont des zones distinctes de niveau supérieur pour différents groupes dans leur organisation, donc je suis curieux de savoir quand cela est approprié et quels sont les avantages / inconvénients de cette approche.
Pour info, je ne suis dans cette entreprise que depuis quelques mois et le précédent administrateur AD / DNS a quitté l'entreprise, je n'ai donc aucune référence à la raison pour laquelle une des structures DNS existantes existe.
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.
Ce commentaire me fait me demander si vous devriez peut-être envisager d'avoir une forêt AD distincte pour l'ingénierie, honnêtement.