DNS Infra Design

Verwijderd schreef op donderdag 06 januari 2011 @ 14:43:
Dit zie ik echter niet (één op één) zitten.

Waarom zie je dit niet zitten? Het gebeurt wel vaker in organisaties dat dns niet op microsoft draait, maar op bijvoorbeeld BIND. Zolang het appliance srv-records en (secure) dynamic updates support is er toch niet zoveel aan de hand?

Ben ook wel benieuwd naar waar je knelpunten ziet. Als je je zorgen maakt over de InfoBlox icm. Windows AD, dan kan ik je in ieder geval melden dat dat prima werkt.

Kan je vanuit de AD je InfoBlox dns server automatisch records laten updaten/toevoegen ?
Zo nee, dan is het drama. Ik heb het ook een keer gehad in een mixed omgeving.
AD leunt zwaar op de DNS en dat in combinatie met DHCP dan krijg je problemen als je clients een ander ip adres krijgen.

Uiteindelijk hebben we gekozen om een eigen DNS te draaien op de windows omgeving met als forwarder de andere dns servers op Linux.
Zo heeft niemand last van elkaar.

Infoblocks heeft alle mogelijkheden om alle AD records aan te maken.
Maar ik zou er zelf nooit voor gaan. We hebben in het verleden ook 1 had bij een klant voor ons. Maar gelukkig hebben we nooit in productie genomen.

Ik zou gewoon lekker DNS op de AD servers houden. AD heeft allemogelijkheden om alles zelf goed af te handelen.
Via forwarders of eventueel via een stubzone. Dit werkt perfect. Clients kunnen gewoon records updaten in de AD.

Het voordeel van een AD integrated zone is dat de meeste services hun eigen records bijhouden.

Als de netwerkboys dat liever handmatig doen, wat is dan het probleem? Als ze het maar goed doen!

hans_lenze schreef op zaterdag 08 januari 2011 @ 00:36:
Het voordeel van een AD integrated zone is dat de meeste services hun eigen records bijhouden.

Als de netwerkboys dat liever handmatig doen, wat is dan het probleem? Als ze het maar goed doen!

ben je sarcastisch of gewoon de leukste thuis?

@TS: anyways, duidelijk een gevalletje van *nix gasten met een god complex en weinig kennis van andere zaken.
Ik heb met je te doen.

Zoals meerdere malen genoemd in dit topic, lekker je eigen dns draaien en forwards naar de infoblox appliance.

Als deze gasten er echt op staan dat je puur hun appliance gebruikt, moeten ze (ge)(ont)slagen worden.
DNS is niet zo moeilijk om goed in te richten. Het maakt echt geen hol uit in een omgeving hoeveel DNS servers je hebt, als je maar een soort "dns root" server(s) maakt die een beetje als root/hub werken voor je "slave" servers (sorry voor de termen die niet geheel aansluiten, weet het zo 123 niet beter te verwoorden).
Als er duidelijke afspraken gemaakt worden en goed gedocumenteerd wordt is er 0 aan het handje.

[ Voor 30% gewijzigd door Razwer op 08-01-2011 14:16 ]

Razwer schreef op zaterdag 08 januari 2011 @ 14:12:
[...]

Dus jij prefereert de toevoeging van een extra DNS laag boven het gebruik van de reeds bestaande DNS infrstructuur? Dit terwijl er niet één geldig argument vóór een MS DNS in dit topic is gegeven Om nog maar niet te spreken over een 'god complex'

Razwer schreef op zaterdag 08 januari 2011 @ 14:12:
[...]
Als deze gasten er echt op staan dat je puur hun appliance gebruikt, moeten ze (ge)(ont)slagen worden.

Dit kun je toch niet zomaar stellen zonder dat je de omgeving kent? Voor hetzelfde geld zal om dns-replicatie (bij bv. gebruik van stub zones) mogelijke te maken, gaten geslagen moeten worden in firewalls. Vanuit die optiek kan ik me er wel iets bij voorstellen dat de netwerkbeheerders dit liever niet willen.

Als de gebruikte appliances nu gewoon ondersteuning bieden voor een AD-omgeving (dynamic updates en srv-records) waarom zou je het gebruik van een dergelijk appliance dan als Windows beheerder (wat ik zelf overigens ook ben) willen voorkomen? Het zou mij eerlijk gezegd jeuken waar dns gehost wordt.

SteeringWheel schreef op zondag 09 januari 2011 @ 03:34:
[...]

Dus jij prefereert de toevoeging van een extra DNS laag boven het gebruik van de reeds bestaande DNS infrstructuur? Dit terwijl er niet één geldig argument vóór een MS DNS in dit topic is gegeven Om nog maar niet te spreken over een 'god complex'

inderdaad. Persoonlijk heb ik slechte ervaringen in bedrijven waar afdelinkjes hun eigen baasje spelen en ben daar door de jaren heen allergisch voor geworden. een over the top voorbeeld is dat voor een simpele DNS entry (A record) een RFC gemaakt moet worden bijvoorbeeld en na een week wachten het nog fout ingevoerd wordt ook.
Het is een stuk pragmatischer door zelf je eigen DNS te hosten voor je eigen omgeving waar er in de "root" een stubzone of een conditional forwarder oid zit.

Question Mark schreef op zondag 09 januari 2011 @ 09:00:
[...]

Dit kun je toch niet zomaar stellen zonder dat je de omgeving kent? Voor hetzelfde geld zal om dns-replicatie (bij bv. gebruik van stub zones) mogelijke te maken, gaten geslagen moeten worden in firewalls. Vanuit die optiek kan ik me er wel iets bij voorstellen dat de netwerkbeheerders dit liever niet willen.

Als de gebruikte appliances nu gewoon ondersteuning bieden voor een AD-omgeving (dynamic updates en srv-records) waarom zou je het gebruik van een dergelijk appliance dan als Windows beheerder (wat ik zelf overigens ook ben) willen voorkomen? Het zou mij eerlijk gezegd jeuken waar dns gehost wordt.

Dan maken ze die gaten in de firewall maar, dat is 1 keer een RFC en dan klaar. Daarna kun je fijn met je eigen omgeving aan de slag zonder dat je afhankelijk bent van een team die 9 van de 10 keer niet begrijpt waar je mee bezig bent en *nix logica toepast op windows (waarbij een verdwaalde afkeer voor het product waar je mee werkt ook nog parten komt spelen).

Op technisch gebied geef ik je gelijk, het kan prima. Maar op pragmatisch gebied zou ik het absoluut niet zo doen.

Razwer schreef op zondag 09 januari 2011 @ 13:15:
[...]

inderdaad. Persoonlijk heb ik slechte ervaringen in bedrijven waar afdelinkjes hun eigen baasje spelen en ben daar door de jaren heen allergisch voor geworden. een over the top voorbeeld is dat voor een simpele DNS entry (A record) een RFC gemaakt moet worden bijvoorbeeld en na een week wachten het nog fout ingevoerd wordt ook.
Het is een stuk pragmatischer door zelf je eigen DNS te hosten voor je eigen omgeving waar er in de "root" een stubzone of een conditional forwarder oid zit.

[...]

Dan maken ze die gaten in de firewall maar, dat is 1 keer een RFC en dan klaar. Daarna kun je fijn met je eigen omgeving aan de slag zonder dat je afhankelijk bent van een team die 9 van de 10 keer niet begrijpt waar je mee bezig bent en *nix logica toepast op windows (waarbij een verdwaalde afkeer voor het product waar je mee werkt ook nog parten komt spelen).

Op technisch gebied geef ik je gelijk, het kan prima. Maar op pragmatisch gebied zou ik het absoluut niet zo doen.

Ok, dan is het enige argument vóór een MS DNS: interne politieke redenen. Dat lijkt mij meer een probleem voor de organisatie dan een technisch probleem. Argumenten tegen het gebruik van een extra DNS laag: extra complexiteit, extra beheer, extra POF en dus extra kosten.
Verder lees ik uit de TS "Voor mijn domain wil ik graag gebruik blijven maken van mijn Microsoft intergrated DNS servers". Maar hierbij geen enkele argumentatie. TS staat dus niet sterk vind ik.

extra kosten argument vind ik wel erg overtrokken. Klinkt erg als salespraatjes.
Praktisch gezien zal, zie mijn argumentatie, het juist qua arbeidsloon minder kosten na een initiele minimale investering.

Razwer schreef op zondag 09 januari 2011 @ 13:54:
Praktisch gezien zal, zie mijn argumentatie, het juist qua arbeidsloon minder kosten na een initiele minimale investering.

Het spijt me wel, maar eigenlijk heb ik nog geen valide argument van je gezien. De enige twee redenen die je aanvoerd zijn:

Razwer schreef op zondag 09 januari 2011 @ 13:15:
[...]
Persoonlijk heb ik slechte ervaringen in bedrijven waar afdelinkjes hun eigen baasje spelen en ben daar door de jaren heen allergisch voor geworden.

Daarna kun je fijn met je eigen omgeving aan de slag zonder dat je afhankelijk bent van een team die 9 van de 10 keer niet begrijpt waar je mee bezig bent en *nix logica toepast op windows

Het lijkt er gewoon op dat je wat vervelende ervaringen tegengekomen bent, maar dat betekend echt niet dat het in elk bedrijf zo werkt.

Question Mark schreef op maandag 10 januari 2011 @ 14:11:
Het lijkt er gewoon op dat je wat vervelende ervaringen tegengekomen bent, maar dat betekend echt niet dat het in elk bedrijf zo werkt.

Mee eens, al is mijn ervaring wel dat een populair systeem als ITIL dit een draak van een project kan maken.
Mede daardoor is mijn mening wat het is. Ik baseer veel van mijn oplossingen vaak op zaken om zo min mogelijk "red tape" tegen te komen in de praktijk. Dit kun je ook weer zien als een lager TCO (er is dan reeds minder overhead in arbeid) en dus is het dan een meer efficiente oplossing. Persoonlijk vind ik dat toch wel een belangrijke factor en daarom maak ik mij sterk voor mijn mening.
Maar op technisch gebied heb je gelijk.

[ Voor 5% gewijzigd door Razwer op 10-01-2011 19:08 ]

Razwer schreef op maandag 10 januari 2011 @ 19:05:
[...]

Mee eens, al is mijn ervaring wel dat een populair systeem als ITIL dit een draak van een project kan maken.

Ik heb het ooit horen omschrijven als volgt:
ITIL processen horen gebaseerd te zijn op best practices, maar wat vaak achterwege gelaten wordt is het finetunen en aanpassen van die best practices aan de situatie die bij de desbetreffende onderneming het beste past.
Gevolg is dat die best practice niet meer de richtlijn is maar als een harde waarheid wordt gebruikt zonder feedback loop.

Hoe komt de discussie nu opeens op ITIL en processen? Als je begrijpt hoe DNS werkt mbt. AD dan is het geen enkele systeem om een ander systeem te gebruiken, desnoods als forwarders. Dan mag die andere afdeling nog zo stroperig zijn, als jij je requirements juist kunt formuleren is er niets aan het handje.