조직의 기본 도메인 (AD 포함) example.com이 있습니다. 과거에는 이전 관리자가 dmn.com, lab.example.com, dmn-geo.com 등과 같은 여러 다른 영역과 하위 도메인 및 델리게이트를 서로 다른 엔지니어링 그룹에 대해 생성했습니다. 우리의 DNS는 지금 약간 혼란입니다. 물론 example.com의 워크 스테이션에있는 누군가가 다른 영역 / 하위 도메인의 시스템에 연결하거나 그 반대로 연결해야 할 때 문제가 발생합니다 (부분적으로 영역 전송 및 위임이 대부분 구성되지 않았기 때문에) .
프로덕션 DNS는 Active Directory와 통합되어 있지만 엔지니어링 시스템은 AD와 분리되어야합니다.
우리는 DNS를 재구성하고 이러한 모든 항목을 통합하는 방법을 논의하고 있습니다. 우리가 취할 수있는 세 가지 방법이 있습니다.
- 'dmn.eng'과 같은 새 영역을 만듭니다. 이는 DNS 서버를 사용하거나 이름 서버를 사용하여 엔지니어링하여 IT 부서에서 관리 할 수 있습니다.
- 새 위임 eng.example.com을 생성하고 엔지니어링 DNS를 해당 하위 도메인에 통합 한 후 엔지니어가 대리인의 이름 서버를 관리하게합니다.
- 위임없이 새 하위 도메인 eng.example.com을 만들고 하위 도메인 자체의 DNS를 관리합니다.
대리인 하위 도메인을 만들고 엔지니어가 해당 하위 도메인 내에서 자신의 DNS 구조를 완전히 제어 할 수있게하는 것이 좋습니다. 장점은 DNS가 작동하지 않으면 내 잘못이 아니라는 것입니다.). 그러나 어떤 것이 효과가없는 경우 책임에 대해 여전히 모호한 점이 있으며, 설정, 구성 및 관리를 위해서는 엔지니어링 부서와의 조정이 필요합니다.
하위 도메인을 위임하지 않으면 프로덕션 IT가 비 프로덕션 DNS를 처리하는 데 훨씬 더 많은 작업이 필요하다는 것을 의미합니다 (기본적으로 이미 많은 작업을 수행 했음). 모든 DNS를 완벽하게 제어 할 수 있다는 장점이 있으며, 문제가 해결되지 않을 경우 누가 그 책임을 져야하는지 의심 할 여지가 없습니다. 또한 geo.eng.example.com과 같은 델리게이트를 추가하여 엔지니어링에 필요한 유연성과 제어 기능을 제공 할 수 있습니다.
새로운 지역 인 dmn.eng을 만들어야 할 필요성이나 이점에 대해 확신이 없습니다.
이런 상황에 대한 업계 모범 사례와 권장 사항은 무엇입니까? 엔지니어링과 생산간에 완벽한 이름 확인을 구현하고 제공하는 가장 간단한 솔루션은 무엇입니까? 내가 누락되었을 수있는 각 솔루션에 대한 잠재적 인 이점 또는 함정은 무엇입니까?
정보를 조금 더 추가하기 위해 우리는 상당히 큰 제조 회사입니다. 이 엔지니어들은 R & D, 개발 및 QA에서 일합니다. 실험실에는 종종 자체 서브넷이나 전체 네트워크, DHCP 등이 있습니다. 조직 및 기술과 관련하여, 그들은 작은 세계입니다.
우리는 프로덕션 환경을 보호하기 위해 엔지니어링 실험실 및 네트워크에 대해 일정 수준의 네트워크 격리를 유지하려고합니다 ( 엔지니어링 DHCP 서버를 신뢰할 수있는 AD DHCP 서버로 추가 한 엔지니어에 대해서는 이전 질문 참조 ). 그러나 랩의 워크 스테이션 사용자는 프로덕션 네트워크의 리소스에 액세스해야하거나 프로덕션 네트워크의 워크 스테이션 사용자는 랩 시스템에 연결해야하며 이는 정렬을 정당화하기에 충분한 빈도로 발생합니다. 통합 DNS.
기존 대리자에게는 이미 엔지니어링으로 관리되는 DNS 서버가 있지만 이러한 서버가 설정된 다른 랩의 엔지니어 간에는 통신이 없으므로 가장 일반적인 문제는 하위 도메인 간 이름 확인에 실패하는 것입니다. 엔지니어가 해당 델리게이트 서버를 소유하고 있기 때문에 NS 항목을 수정하여 서로 대화 할 수 없으므로 IT가 전적으로 소유하지 않은 DNS의 이점이 있습니다. 그러나 엔지니어링은 매일 DNS를 변경할 수 있기 때문에 생산 및 엔지니어링을 위해 DNS를 관리하는 것은 어려운 일입니다. 그러나 BigHomie가 그의 답변에서 언급했듯이 이는 아마도 엔지니어링 팀이 실제 DNS 관리자를 고용 (또는 지정)해야한다는 것을 의미합니다. 그 사람과 나는 아주 잘 알고 있어야합니다.
필자는 임의의 최상위 도메인 이름 또는 접미사를 사용하여 새 영역을 만드는 아이디어가 마음에 들지 않지만 이미 임의의 이름을 가진 5 개의 다른 영역이 있으므로 단일 영역으로 통합하는 것이 여전히 개선되고 있습니다. 조직의 여러 그룹에 대해 별도의 최상위 영역이있는 다른 회사가 존재한다는 것을 알고 있으므로 언제 그것이 적절한 지, 그리고 그 접근법의 장점 / 단점이 무엇인지 궁금합니다.
참고로, 저는이 회사에 몇 달 동안 있었으며 이전 AD / DNS 관리자가 회사를 떠났으므로 기존 DNS 구조가 존재하는 이유에 대해서는 언급 할 것이 없습니다.
Our production DNS is integrated with Active Directory, but engineering systems should be isolated from AD.
이 의견은 솔직히 엔지니어링을 위해 별도의 AD 포리스트를 고려해야하는지 궁금합니다.