这是有关Active Directory域命名的规范问题。
在虚拟环境中试用Windows域和域控制器后,我意识到拥有活动目录域以与DNS域相同的名称命名是个坏主意(意味着当我们将
example.com
域名注册为我们的网站时,将example.com
作为Active Directory名称是不好的)。 这个相关的问题似乎支持该结论,但是我仍然不确定围绕Active Directory域命名的其他规则。 Active Directory名称应该或不应该是什么?
#1 楼
这是有关服务器故障的有趣话题。关于该主题,似乎有不同的“宗教观点”。我同意Microsoft的建议:使用公司已注册的Internet域名的子域。
因此,如果您拥有
foo.com
,请使用ad.foo.com
或类似的东西。,正如我所见,最邪恶的做法是将注册的Internet域名逐字用作Active Directory域名。这将导致您不得不手动将记录从Internet DNS(例如
www
)复制到Active Directory DNS区域中,以允许解析“外部”名称。我已经看到了完全愚蠢的事情,例如在运行网站的组织中每个DC上都安装了IIS,该网站执行重定向,以便通过这些IIS安装将进入foo.com
的人重定向到其浏览器。愚蠢!使用Internet域名没有任何好处,但是每次更改外部主机名所引用的IP地址时,都会产生“ make work”。 (尝试对外部主机使用地理位置上负载均衡的DNS,并将其与这种“拆分DNS”情况集成在一起!Ge,这很有趣...)
使用这样的子域对Exchange电子邮件传递或用户主体名称(UPN)后缀BTW等没有影响。 (我经常看到这两者都是使用Internet域名作为AD域名的借口。)
我还看到了“大公司这样做的借口”。大公司可以比小公司更容易(如果不是更多)做出明智的决定。我不仅仅因为一家大公司做出了错误的决定而以某种方式使它成为一个好的决定来购买它。
#2 楼
这个问题只有两个正确答案。您公开使用的域的未使用子域。例如,如果您的公开Web站点为
example.com
,则您的内部AD可能会命名为ad.example.com
或internal.example.com
。您拥有的未使用的二级域在其他任何地方都不会使用。例如,如果您的公共网站为
example.com
,则只要您注册了example.net
,并且不在其他任何地方使用它,您的广告就可以命名为example.net
!这是您仅有的两个选择。如果您做其他事情,您将遭受很多痛苦。但是每个人都使用.local!
没关系。你不应该我已经在博客中介绍了.local和其他组成的TLD(例如.lan和.corp)的使用。在任何情况下都不应该这样做。
这不是更安全。这不是某些人声称的“最佳实践”。而且,它对我提出的两个选择没有任何好处。
但是我想将其命名为公共网站的URL,以便用户使用
example\user
而不是ad\user
这是一个有效的但误导的问题。升级域中的第一个DC时,可以将域的NetBIOS名称设置为所需的名称。如果您按照我的建议将域设置为
ad.example.com
,则可以将域的NetBIOS名称配置为example
,以便您的用户以example\user
身份登录。在Active Directory林和信任关系中,您可以也可以创建其他UPN后缀。没有什么可以阻止您创建@ example.com并将其设置为域中所有帐户的主要UPN后缀。当您将此与以前的NetBIOS建议结合使用时,最终用户将看不到您域的FQDN为
ad.example.com
。他们看到的所有内容都是example\
或@example.com
。唯一需要使用FQDN的人就是使用Active Directory的系统管理员。另外,假设您使用水平分割DNS名称空间,这意味着您的AD名称与面向公众的网站相同。现在,您的用户无法在内部访问
example.com
,除非您在他们的浏览器中为其添加前缀www.
或在所有域控制器上运行IIS(这很糟糕)。您还必须管理两个不相同的DNS区域,它们共享不连续的名称空间。这确实比其价值更麻烦。现在,假设您与另一家公司建立了合作伙伴关系,并且他们还拥有带有其AD和外部存在的水平分割DNS配置。两者之间有一条专用光纤链路,您需要建立信任关系。现在,您到任何公共站点的所有流量都必须遍历专用链接,而不是仅通过Internet传输。这也给双方的网络管理员带来了各种各样的麻烦。避免这种情况。相信我。但是但是...
严重的是,没有理由不使用我建议的两件事之一。任何其他方式都有陷阱。我不是要告诉您赶紧更改域名,如果它可以正常运行,但是如果您要创建新的广告,请执行上面我建议的两件事之一。
评论
一点-可以使用比IIS小得多,更快和安全的东西来服务重定向。甚至haproxy或nginx都可能会过大-更不用说apache2之类的功能齐全的服务器了。
–橙色狗
13年1月29日在17:21
的确如此,但所有这些都是草率且不必要的。
– MDMarra
13年1月29日在18:08
噢,是的,当有人突然注册了域local.net时,所有在该日期之前默默获得NXDOMAIN的打印机突然都不再应答了,这真是太痛苦了。那是一个有趣的调查...
–约翰内斯
13年8月26日在20:49
请允许我注意,.local不是“虚构的”,实际上是保留的。只是不适合此类使用:en.wikipedia.org/wiki/.local
–mikebabcock
2015年3月11日14:25
在撰写本文时,它尚未保留。
– MDMarra
2015年3月11日19:47
#3 楼
为协助MDMarra回答:您也不要为域名使用单标签DNS名称。 Windows 2008 R2之前/之前提供了该功能。可在此处找到原因/解释:通过使用单标签DNS名称配置的Active Directory域的部署和操作| Microsoft支持
别忘了不要使用保留字(如表底部的“命名约定”链接中包含一个表),例如SYSTEM或WORLD或RESTRICTED。
我也同意Microsoft的观点,即您应该遵循两个附加规则(虽然不是一成不变的,但是仍然是固定的):
您不应基于在会改变或过时的事物上。例如,以产品线,操作系统或其他可能随时间变化的名称来命名您的域。坚持使用足以在未来5年甚至10年内有意义的地理或具体内容。
短名称不能超过15个字符,这将使NETBIOS名称容易与域名相同。
最后,我建议您尽可能长远地考虑。公司确实要进行并购,甚至是小型公司。还应考虑获得外部帮助/咨询。使用域名,广告结构等,可以轻松地为SF的顾问或这里的人们解释。
知识链接:
http://technet.microsoft .com / en-us / library / cc731265%28v = ws.10%29.aspx
http://support.microsoft.com/kb/909264
http ://support.microsoft.com/kb/300684/en-us
Microsoft当前(W2k12)推荐页面的根目录林域名
#4 楼
我不同意使用:example.com-由于其他答案中已经提到的原因
我可以接受使用:
ad.example.com--由于其他答案中已经提到的原因,
但是我不会自己做或推荐它。在公司接管过程中,重塑品牌名称的一切都变得松散了,特别是当那时的管理层希望事情立即改变时。重命名迁移,更改非常困难或代价昂贵。
我建议的最佳方法是购买与公司名称无关,也与公司品牌无关的域名。只要您可以拥有SIMPLE.CLOUD或类似产品就可以。
我看到有15万用户使用AD的大型公司仍在引用他们几年前购买的旧公司,或者更改过名称的公司,即使从长远来看这并不重要\ login(如果您不能使用UPN)在管理人员面前仍然很糟糕,因为他们不理解为什么更改它并不容易。
#5 楼
我总是做mydomain.local
。local
不是有效的TLD,因此它永远不会与实际的公共DNS条目竞争。例如,我喜欢知道web1.mydomain.local
将解析为Web服务器的内部IP,而web1.mydomain.com
将解析为外部IP。 评论
FWIW,.local查询在根L服务器上运行-当我查看时,约为800 / sec。
–jscott
2010-09-23 20:11
dot.Local,又名dot.Fail
–即插即用
15年4月13日在8:23
由于上述所有原因,使用无效的TLD(或未注册的域)不是最佳实践,而是最糟糕的实践。我承认我曾经使用过.local,但是那是在我更了解之前。
–乔纳森·J
16-9-09在20:05
评论
但是,该域的NetBIOS名称不是...好吧,很漂亮:) corp的描述性不如foo。
– Anton Gogolev
09-10-21在13:26
不过,您可以分配所需的任何NetBIOS名称。我的许多客户的名称都类似于“ ad.example.com”,但NetBIOS名称为“ EXAMPLE”。 DCPROMO将提示您输入域创建过程中NetBIOS名称的名称。
–埃文·安德森(Evan Anderson)
09-10-21在13:32
如果这样做,请注意具有通配符的域的问题。如果您拥有* .foo.com,则host.internal.foo.com将在某些情况下与之匹配
–詹姆斯·瑞安(JamesRyan)
09-10-21在15:12
我不知道任何电子邮件服务器产品需要您使用AD域名作为用户的电子邮件地址后缀。 Exchange从来不需要在AD域名和电子邮件地址后缀之间建立任何类型的关联。
–埃文·安德森(Evan Anderson)
15年7月4日在19:46
Office365仅要求您的用户使用其后缀匹配您的租户域的UPN登录。由于可以将默认的Exchange邮箱地址策略定义为任何内容(就像您的UPN后缀一样),因此这很简单。我们以EXAMPLE.COM作为公司名称(在Office365中为租户),EXAMPLE.NET(也已注册)为林,CORP.EXAMPLE.NET为主要帐户域(以及其他区域子域,例如EU.EXAMPLE)。 NET)(以EXAMPLE作为NetBIOS名称),林Exchange组织中的所有用户都使用Name@EXAMPLE.COM来获取UPN和电子邮件。 Office365对此非常满意。
– Ryan Fisher
2015年9月9日23:16