Назад | Перейти на главную страницу

Как убедить корпорацию использовать DNS?

Это не первый раз в моей жизни, когда мне приходится убеждать небольшую корпорацию в использовании службы DNS вместо файлов / etc / hosts и IP-адресов. В первый раз это может показаться глупым / забавным, но представьте, что есть много администраторов, которые ленивы или просто не заботятся о них и отказываются внедрять эту службу. Можем ли мы собрать примеры использования и причины, по которым это нужно делать?

Есть ли у вас опыт работы в такой ситуации? Поделись, пожалуйста!

Следите за временем, которое вы тратите на обновление /etc/hosts файлы, развертывание изменений и их синхронизация.

+1 за ответ MikeyB. Как продолжение, как бы вы убедили корпорацию в том, что им нужно что-то еще? (Как обосновать необходимость в новой стойке или коммутаторе и т. Д.?) Сравните альтернативы и проведите анализ затрат и выгод для каждого варианта.

На самом деле настройка надежного DNS-решения не займет так много времени.

Помимо теста необходимо обновить /etc/hosts файлы, как узнать, что что-то не синхронизируется? Если у вас все указывает на централизованный набор серверов, то у вас больше нет этой проблемы. DNS также может быть легко зеркалирован между серверами и сайтами, поэтому я был бы очень скептически настроен против любых оправданий, что это снижает надежность. (Если сеть выйдет из строя, ваши серверы все равно не будут нуждаться в разрешении имен. :-)

Я также хотел бы отметить, что могут быть относительно дешевые способы реализации этого. Даже если вы не настраиваете свой DNS самостоятельно (или у вас нет оборудования или персонала для его реализации), это довольно легко реализовать.

Если вы находитесь в относительно небольшой среде, в настоящее время ряд довольно дешевых регистраторов доменных имен позволяют вам редактировать файл конфигурации DNS, связанный с вашим доменом, через относительно простой веб-интерфейс. Это также может работать для локальных IP-адресов, поэтому вы можете mymachinename.example.com как A запись в 10.0.0.1. Даже если вы не хотите загрязнять официальное доменное имя компании, вы можете получить альтернативное, более эзотерическое доменное имя, с помощью которого можно это реализовать. Этот тип хостинга стоит около 10 долларов / 10 фунтов / 10 евро в год.

Однако у этого подхода есть недостатки (и это не обязательно хорошая практика):

  • Это не будет работать для обратного разрешения DNS (если оно вам нужно), независимо от того, является ваш IP-адрес публичным или частным.
  • Некоторые из «диких» интернет-пользователей могут видеть ваши DNS-запросы и угадывать ваши внутренние имена. Создает ли это риск, зависит от остальной части вашей сети. Хорошо настроенная сеть не должна слишком сильно бояться, если кто-то узнает имя / IP-адрес машины внутри нее.

Для более крупной сети, из-за которых вышеупомянутые проблемы имеют значение, вам, вероятно, следует рассмотреть возможность размещения собственного DNS-сервера.

Раньше я работал в компании, у которой не было внутреннего DNS, DHCP или согласованного аппаратного процесса. Веселые времена. Я чувствую твою боль.

Эта ситуация очень похожа на язык программирования: вы пишете кусок кода, который что-то делает, а затем повторно используете этот код. Вы делаете это, потому что повторение одной и той же задачи снова и снова неэффективно. У вас также есть проблема обновления всех экземпляров указанного кода при внесении изменений, обнаружении ошибки и т. Д. То же самое применимо и здесь.

Во-первых, укажите центральную точку администрирования, которую может обеспечить внутренний DNS-сервер. Обновление в одном месте принесло бы радость по всей сети.

Во-вторых, сообщите им об экономии полосы пропускания. Подумайте об этом, какие настройки DNS выталкивает DHCP? Это должна быть какая-то внешняя служба. Наличие внутреннего сервера устранит исходящий круговой обход, что ускорит работу ваших внутренних пользователей и снизит использование полосы пропускания на вашем внешнем канале. Выиграть!

Безопасность / контроль! Вы можете занести в черный список известные вредоносные записи DNS на своем DNS-сервере, т.е. вы можете разрешить DNS-серверу разрешить nasty-website-that-is-evil.tld на внутреннюю страницу, объясняющую, почему он заблокирован (хорошо, это можно сделать с помощью прокси-сервер тоже, но поехали).

Список можно продолжать и продолжать.

Надеюсь, теперь у вас есть чем заняться.

Kindof, я видел это, но не с 500 хостами !! это нереально. Больше вроде 15 хозяев.

Если вы отвечаете за ИТ-отдел, то можете просто сказать, что именно это и произойдет. DHCP и DNS не имеют больших накладных расходов, они могут работать виртуально и очень просты в настройке.

Какая ОС работает на этих 500 машинах? это окна? как у вас дела с совместным использованием файлов Windows? звучит как одноранговая сеть ad-hok без контроллера домена.

Добавление DC, если это окна, сэкономит вам бесчисленные часы возни.
Сколько времени вы тратите на администрирование сети с конфликтами IP-адресов и т. Д.? Если он большой, то простое добавление DHCP / DNS почти ничего не снизит. Так что думайте об этом как о сэкономленных деньгах.

Гораздо проще управлять 1 машиной, чем 500. Внесите изменения. И пока вы это делаете, не забудьте иметь дополнительный DC в качестве резервного.