Windows DNS: サブネットに基づいてドメインを分割する方法はありますか

tag-icon tag-icon windows domain-name-system subdomain subnet internal-dns
Windows DNS: サブネットに基づいてドメインを分割する方法はありますか

私たちの組織には、ネットワーク アドレス空間とドメインを共有する 2 つの別々のグループがあります。/24 のいくつかのスライスが私のグループに割り当てられ、残りは社内の IT チームに割り当てられています。

私たちは、彼らのシェアの DNS を管理できるようにしたいわけではありませんが、私たちのシェアの DNS を管理できるようにする必要があります。

問題は、私が在職する以前からの政治的/歴史的な理由により、Linux ベースの DNS サーバーをセットアップし、独自のレコードを維持し、すべてのサーバーと機器をこのサーバーに向けることです。一方、組織全体のユーザーと開発者は、IT チームの DNS サーバーに向けられています。

あらゆる状況ですべてが機能することを確認するには、サーバーに DNS レコードを入力し、IT チームにチケットを発行して Active Directory 環境にレコードを作成する必要があります。これはパリティから外れており、管理上の悪夢です。

さらに、共有を使用するサーバーとアプリケーションが数百ありdomain.com、数百のサーバーとアプリケーションを作成して更新する必要があるのsubdomain.domain.comは望ましくありません。

domain.comそのため、 /16 内の少数の /24 に対してのみ、レコードを更新するための信頼と許可を与える方法はありますか? Active Directory にボルトで固定するサードパーティ ソリューションは許容されます。

答え1

誤解しているかもしれませんが、1 日に 1 回または 2 回実行されるスケジュールされたタスクが機能するようです。

  • DNSレコードを読み込む
  • 記録されたIPアドレスが基準に一致する場合
  • アドレスを管理するセキュリティグループのACEのセキュリティACLを調べる
  • ACE が存在しない場合は追加します。

ゾーンにアクセスして更新を実行する方法のコード例を次に示します。

http://www.adamtheautomator.com/fix-dynamic-dns-record-permissions-automagically/ より

このコードは孤立した動的 DNS レコードを修正するためのものですが、正しい方向を指し示すはずです。

答え2

DNS は管理に関してサブネットを気にしないことに既に気づいているでしょう。DNS インフラストラクチャの一般的な管理単位は「ゾーン」であり、これは少なくとも 1 つのドメインに対応します。したがって、管理タスクを委任する場合は、完全なゾーン、つまり少なくとも完全なドメインの管理を委任することになります。

Windows AD DNS サーバーは、単一レコード エントリに対して追加のアクセス制御と委任機能を提供します。つまり、ゾーン管理全体を委任することなく、ゾーン内のすべての単一レコードに対して特定のユーザーまたはグループの「変更」権限を設定できます。ただし、委任機能と ACL 機能のいずれにも、管理単位として「サブネット」のようなものは含まれていないため、これを ACE に反映する必要がある場合は、外部で修正する必要があります。

そうは言っても、Windows DNS ACL にはレコードの「作成者」という概念があり、ゾーン内の新しいレコードの作成のみを委任する機能があり、他のゾーン固有のデータや他のレコードを変更する権限は必要ないため、それほど悪い話ではないかもしれません。「作成者」はレコードの所有者になり、暗黙的にその権限を変更する権限を取得するため、間接的に「フル コントロール」を取得します。さらに、必要に応じて、新しいレコードの作成時に継承される「CREATOR-OWNER」の ACE をコンテナーで明示的に定義できます (ただし、権限を変更する暗黙的な権限は取り消すことはできません)。したがって、基本的なプロジェクトの概要は次のようになります。

  • AD DNSチームに、グループのゾーン内の新しいレコードの作成権限を依頼します。
  • AD DNSチームに、グループに属するリソースレコードの変更権限を委任するよう依頼します。
  • AD DNSでグループのリソースレコードを自分で作成および変更し始める
  • グループによって作成されたレコードが委任ポリシーに準拠しているかどうか(つまり、ドメイン内のホストを指しているかどうか)をチェックする、頻繁に実行される管理スクリプトの作成を提案します。
  • Linux DNS サーバーを再構成して、クエリを AD DNS サーバーに転送するか、AD DNS プライマリの 1 つからゾーンのデータを取得してセカンダリとして機能するようにします (DNS ゾーンが AD 統合されている場合は、すべての AD DNS サーバーがプライマリとして機能します)。

答え3

を使用してドメインをリモートで管理および自動化できるように Active Directory を構成する方法についてはお答えできませんnsupdate

私ができるNSここでお伝えしたいのは、個々のレコードに対して相互に委任を使用し、チームが管理していないデータに対しては静的Aまたはレコードを定義しないことで、頭痛の種をいくらか軽減できるということです。CNAME

Active Directory に次のようなものがあるとします。

example.com. SOA dc1.example.com. hostmaster.example.com. 2015022400 28800 7200 604800 300
     IN NS dc1.example.com.
     IN NS dc2.example.com.
     IN MX 10 mail.example.com.
www  IN NS ns1
ftp  IN NS ns1
mail IN  A 198.18.0.10

dc1  IN  A 198.18.0.150
ns1  IN  A 198.18.0.250
  • mail、、ns1およびはdc1静的に定義されたレコードです。
  • wwwそして、権威ある Linux DNS サーバーであるftpに委任されています。ns1.example.com.
  • DC は通常、混合 DNS サーバー ロール (再帰的および権限的) で動作しているため、および の要求によりwww再帰ftpがトリガーされ、ns1.example.com回答を得るために が参照されます。DC からのトラフィックが にアクセスできるファイアウォールがあれば、これは成功しますns1

これはまだ面倒です。リモートサーバー上でレコードを定義する必要性から逃れることはできません。達成すべきことは、個々のレコードの所有権です。これらのレコードの 1 つの IP アドレスを変更する必要がある場合、この変更をフェンスの両側で行う必要はありません。少なくとも誰かがsub.ftp.example.comDC で定義するまでは、これは機能します。ftp委任されているため、sub.ftpも委任されており、ローカルで管理する方法はありません。

関連情報