Windows Active Directory命名最佳做法？

#1 楼

这是有关服务器故障的有趣话题。关于该主题，似乎有不同的“宗教观点”。

我同意Microsoft的建议：使用公司已注册的Internet域名的子域。

因此，如果您拥有foo.com，请使用ad.foo.com或类似的东西。

，正如我所见，最邪恶的做法是将注册的Internet域名逐字用作Active Directory域名。这将导致您不得不手动将记录从Internet DNS（例如www）复制到Active Directory DNS区域中，以允许解析“外部”名称。我已经看到了完全愚蠢的事情，例如在运行网站的组织中每个DC上都安装了IIS，该网站执行重定向，以便通过这些IIS安装将进入foo.com的人重定向到其浏览器。愚蠢！

使用Internet域名没有任何好处，但是每次更改外部主机名所引用的IP地址时，都会产生“ make work”。 （尝试对外部主机使用地理位置上负载均衡的DNS，并将其与这种“拆分DNS”情况集成在一起！Ge，这很有趣...）

使用这样的子域对Exchange电子邮件传递或用户主体名称（UPN）后缀BTW等没有影响。 （我经常看到这两者都是使用Internet域名作为AD域名的借口。）

我还看到了“大公司这样做的借口”。大公司可以比小公司更容易（如果不是更多）做出明智的决定。我不仅仅因为一家大公司做出了错误的决定而以某种方式使它成为一个好的决定来购买它。

#2 楼

这个问题只有两个正确答案。


您公开使用的域的未使用子域。例如，如果您的公开Web站点为example.com，则您的内部AD可能会命名为ad.example.com或internal.example.com。
您拥有的未使用的二级域在其他任何地方都不会使用。例如，如果您的公共网站为example.com，则只要您注册了example.net，并且不在其他任何地方使用它，您的广告就可以命名为example.net！这是您仅有的两个选择。如果您做其他事情，您将遭受很多痛苦。


但是每个人都使用.local！
没关系。你不应该我已经在博客中介绍了.local和其他组成的TLD（例如.lan和.corp）的使用。在任何情况下都不应该这样做。

这不是更安全。这不是某些人声称的“最佳实践”。而且，它对我提出的两个选择没有任何好处。

但是我想将其命名为公共网站的URL，以便用户使用example\user而不是ad\user
这是一个有效的但误导的问题。升级域中的第一个DC时，可以将域的NetBIOS名称设置为所需的名称。如果您按照我的建议将域设置为ad.example.com，则可以将域的NetBIOS名称配置为example，以便您的用户以example\user身份登录。

在Active Directory林和信任关系中，您可以也可以创建其他UPN后缀。没有什么可以阻止您创建@ example.com并将其设置为域中所有帐户的主要UPN后缀。当您将此与以前的NetBIOS建议结合使用时，最终用户将看不到您域的FQDN为ad.example.com。他们看到的所有内容都是example\或@example.com。唯一需要使用FQDN的人就是使用Active Directory的系统管理员。

另外，假设您使用水平分割DNS名称空间，这意味着您的AD名称与面向公众的网站相同。现在，您的用户无法在内部访问example.com，除非您在他们的浏览器中为其添加前缀www.或在所有域控制器上运行IIS（这很糟糕）。您还必须管理两个不相同的DNS区域，它们共享不连续的名称空间。这确实比其价值更麻烦。现在，假设您与另一家公司建立了合作伙伴关系，并且他们还拥有带有其AD和外部存在的水平分割DNS配置。两者之间有一条专用光纤链路，您需要建立信任关系。现在，您到任何公共站点的所有流量都必须遍历专用链接，而不是仅通过Internet传输。这也给双方的网络管理员带来了各种各样的麻烦。避免这种情况。相信我。

但是但是...
严重的是，没有理由不使用我建议的两件事之一。任何其他方式都有陷阱。我不是要告诉您赶紧更改域名，如果它可以正常运行，但是如果您要创建新的广告，请执行上面我建议的两件事之一。

#3 楼

为协助MDMarra回答：

您也不要为域名使用单标签DNS名称。 Windows 2008 R2之前/之前提供了该功能。可在此处找到原因/解释：通过使用单标签DNS名称配置的Active Directory域的部署和操作| Microsoft支持

别忘了不要使用保留字（如表底部的“命名约定”链接中包含一个表），例如SYSTEM或WORLD或RESTRICTED。

我也同意Microsoft的观点，即您应该遵循两个附加规则（虽然不是一成不变的，但是仍然是固定的）：


您不应基于在会改变或过时的事物上。例如，以产品线，操作系统或其他可能随时间变化的名称来命名您的域。坚持使用足以在未来5年甚至10年内有意义的地理或具体内容。
短名称不能超过15个字符，这将使NETBIOS名称容易与域名相同。

最后，我建议您尽可能长远地考虑。公司确实要进行并购，甚至是小型公司。还应考虑获得外部帮助/咨询。使用域名，广告结构等，可以轻松地为SF的顾问或这里的人们解释。

知识链接：

http://technet.microsoft .com / en-us / library / cc731265％28v = ws.10％29.aspx

http://support.microsoft.com/kb/909264

http ：//support.microsoft.com/kb/300684/en-us

Microsoft当前（W2k12）推荐页面的根目录林域名

#4 楼

我不同意使用：


example.com-由于其他答案中已经提到的原因

我可以接受使用：


ad.example.com--由于其他答案中已经提到的原因，

但是我不会自己做或推荐它。在公司接管过程中，重塑品牌名称的一切都变得松散了，特别是当那时的管理层希望事情立即改变时。重命名迁移，更改非常困难或代价昂贵。

我建议的最佳方法是购买与公司名称无关，也与公司品牌无关的域名。只要您可以拥有SIMPLE.CLOUD或类似产品就可以。

我看到有15万用户使用AD的大型公司仍在引用他们几年前购买的旧公司，或者更改过名称的公司，即使从长远来看这并不重要\ login（如果您不能使用UPN）在管理人员面前仍然很糟糕，因为他们不理解为什么更改它并不容易。

#5 楼

我总是做mydomain.local。

local不是有效的TLD，因此它永远不会与实际的公共DNS条目竞争。例如，我喜欢知道web1.mydomain.local将解析为Web服务器的内部IP，而web1.mydomain.com将解析为外部IP。