組織のプライマリドメイン(ADを使用)example.comがあります。過去に、以前の管理者はdmn.com、lab.example.com、dmn-geo.comなどの他のいくつかのゾーンと、すべて異なるエンジニアリンググループ用のサブドメインとデリゲートを作成していました。私たちのDNSは今少し混乱しています。そしてもちろん、これはexample.comのワークステーションの誰かがこれらの他のゾーン/サブドメインのいずれか、またはその逆にシステムに接続する必要がある場合に問題を引き起こします(ゾーン転送と委任がそれらのほとんどのために適切に構成されていないため) 。
運用DNSはActive Directoryと統合されていますが、エンジニアリングシステムはADから分離する必要があります。
DNSを再編成し、これらのさまざまなエントリをすべて統合する方法について説明しています。私たちが取ることができる3つの異なる道を見る:
- 新しいゾーン、つまり「dmn.eng」を作成します。これは、DNSサーバーを使用してITによって管理されるか、ネームサーバーを使用してエンジニアリングされます。
- 新しいデリゲートeng.example.comを作成し、エンジニアリングDNSをそのサブドメインに統合し、エンジニアがデリゲートのネームサーバーを管理できるようにします。
- 委任なしで新しいサブドメインeng.example.comを作成し、サブドメインのDNSを自分で管理します。
デリゲートサブドメインを作成し、エンジニアがそのサブドメイン内の独自のDNS構造を完全に制御できるようにします。利点は、それらのDNSが機能しない場合、おそらく私のせいではないことです;)。ただし、何かが機能しない場合の責任についてはまだあいまいな部分があり、セットアップ、構成、および管理するためにエンジニアリングとの調整が必要になります。
サブドメインを委任しない場合、非実稼働DNSを処理する実稼働ITの作業が大幅に増えることを意味します(これは基本的に既に多くのことを行ってきました)。利点は、すべてのDNSを完全に制御できることであり、何かが機能しない場合は、それを修正することが誰の責任であるかについて疑いの余地はありません。また、geo.eng.example.comなどのデリゲートを追加して、エンジニアリングの柔軟性を高め、必要なときに制御できるようにすることもできます。
新しいゾーンdmn.engを作成することの必要性または利点について、私は本当に不確かです。
このような状況に対する業界のベストプラクティスと推奨事項は何ですか?エンジニアリングと生産の間でシームレスな名前解決を実装し、提供するのに最も簡単なソリューションは何でしょうか?欠けている可能性のある各ソリューションの潜在的な利点または落とし穴は何ですか?
もう少し情報を追加するために、私たちはかなり大きな製造会社です。これらのエンジニアは、R&D、開発、およびQAで働いています。ラボには、しばしば独自のサブネットまたはネットワーク全体、DHCPなどがあります。組織とテクノロジーに関しては、ラボは独自の小さな世界のようなものです。
実稼働環境を保護するために、エンジニアリングラボとネットワークのネットワーク分離をある程度維持したいと考えています(エンジニアリングDHCPサーバーを信頼できるAD DHCPサーバーとして追加したエンジニアに関する以前の質問を参照してください)。ただし、ラボのワークステーションのユーザーは、本番ネットワークのリソースにアクセスする必要があります。または、本番ネットワークのワークステーションのユーザーは、ラボシステムに接続する必要があり、これはソートを正当化するのに十分な頻度で発生します-統合DNS
既存のデリゲートには、エンジニアリングによって管理されたDNSサーバーが既にありますが、これらのサーバーがセットアップされている異なるラボのエンジニア間の通信はないため、最も一般的な問題はサブドメイン間の名前解決の失敗です。エンジニアがこれらのデリゲートサーバーを所有しているため、NSエントリを修正して相互に通信させることはできません。したがって、ITが完全に所有する非委任DNSの利点です。しかし、生産とエンジニアリングのためにDNSを管理することは頭痛の種です。特に、エンジニアリングは毎日DNSを変更できるためです。しかし、BigHomieが答えで述べたように、これはおそらく、エンジニアリングが実際のDNS管理者を雇う(または指定する)必要があることを意味します。そしてその人と私はかなりよく知り合う必要があります。
任意のトップレベルドメイン名またはサフィックスを持つ新しいゾーンを作成するという考えは必ずしも好きではありませんが、すでに任意の名前を持つ5つのゾーンがありますので、単一のゾーンに統合することは依然として改善です。組織内のさまざまなグループに個別のトップレベルゾーンを持つ他の企業が存在することを知っているので、それが適切なタイミングとそのアプローチの長所/短所について興味があります。
参考までに、私はこの会社に数か月しか滞在していなかったため、前のAD / DNS管理者が会社を辞めたため、既存のDNS構造が存在する理由について言及することはできません。
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.
このコメントは、エンジニアリング用に別のADフォレストを用意することを正直に考えるべきかと思います。