命名新的Active Directory林-为什么不建议使用水平分割DNS?

23

希望大家都知道Active Directory林进行命名建议很简单。即,可以将其总结为一个句子。

使用现有已注册域名的子域,然后选择一个不会在外部使用的子域。 例如,如果要合并和注册hopelessn00b.com域,则我的内部AD林应命名为internal.hopelessn00b.comad.hopelessn00b.comcorp.hopelessn00b.com

有使用压倒性令人信服的理由,以避免“假”顶级域名单标签域名,但我有一个很难找到同样令人信服的理由,以避免使用根域(hopelessn00b.com)作为我的域名,使用子域名,例如corp.hopelessn00b.com代替。确实,我似乎能找到的唯一理由是,从内部访问外部网站需要 A nameDNS记录,并www.在浏览器中的网站名称前面键入内容,就问题而言,这很“美”。

那么,我想念什么?为什么用它ad.hopelessn00b.com作为我的Active Directory林名称要好得多hopelessn00b.com

仅作记录,实际上是我的雇主需要说服力-老板人正在兜售,在给我继续创建一个以corp.hopelessn00b'semployer.com我们的内部网络命名的新AD目录林之后,他想坚持使用名为hopelessn00b'semployer.com(与我们的外部注册域相同)。我希望我能得到一些令人信服的理由,或者说最佳实践是更好的选择,所以我可以说服他……因为这似乎比愤怒地辞职和/或找到新工作要容易,至少对于此时此刻。目前,“微软最佳实践”和内部访问我们公司的公共网站似乎并没有减少,我真的真的真的希望这里的人有更多说服力。

domain-name-system  active-directory  best-practices  split-dns 
绝望的N00b
source
1
较小的校正-需要内部A记录,而不是SRV记录www
MDMarra 2014年
@ HopelessN00b-Mark随处可见,还有我想说的一切。他的“合作伙伴”场景正在锦上添花。我还没有“高兴”地进入带有水平分割DNS的场景。我只是会提到它在VPN吸吮中进行名称解析,但是我没有特别考虑DirectAccess。)如果我想任何事情,我都会把它扔掉。我只是惊讶于它创造的过程和潜在的错误。仅凭这一点就足以证明不这样做。最重要的是,我仍然被那些以“大公司这样做就可以”为借口的人所吸引。
埃文·安德森

Answers:

24

有这么多代表。来找我吧。

好的,因此,Microsoft很好地记录了您不应该使用水平分割或已链接多次的虚构TLD(请在我的博客中大喊大叫!)。有几个原因。

  1. www您在上面指出的问题。烦人,但不会破坏交易。

  2. 它迫使您维护所有面向公众的服务器的重复记录,这些服务器也可以在内部访问,而不仅仅是wwwmail.hopelessnoob.com是一个常见的例子。在理想情况下,您将拥有一个单独的外围网络来处理诸如mail.hopelessnoob.compublicwebservice.hopelessnoob.com。对于某些配置(例如具有内部和外部接口的ASA),无论如何,您都需要内部NAT或水平分割DNS 但对于具有合法外围网络的大型组织,您的面向Web的资源并不在发夹式NAT边界的后面-这会导致不必要的工作。

  3. 想象一下这种情况-您在hopelessnoob.com内部和外部。您拥有一家与之合作的公司,example.com他们做同样的事情-在内部通过广告和可公开访问的DNS名称空间进行划分。现在,您配置了站点到站点VPN,并希望内部身份验证可以通过信任关系遍历隧道,同时可以访问其外部公共资源以通过Internet传输出去。如果没有令人难以置信的复杂策略路由或拥有自己内部DNS区域的副本,这几乎是不可能的-现在,您刚刚创建了一组要维护的DNS记录。因此,您必须在最后处理发夹问题它们的目的,策略路由/ NAT以及其他各种欺骗手段。(实际上,在这种情况下,我继承了一个AD)。

  4. 如果您曾经部署DirectAccess,它将大大简化您的名称解析策略-其他拆分隧道VPN技术也可能如此。

其中有些是边缘情况,有些不是,但是很容易避免。如果您有能力从一开始就做到这一点,那么不妨以正确的方式做到这一点,以使您十年之内不会遇到其中之一。

姆达拉
source
1
很棒的酱。我认为3和4可能会达成交易...但是我要让它保持开放状态,看看是否还有其他东西。并希望鼓励您选择更多的贵重物品。对该答案有两个赞誉很弱……来吧,人们。需要mo怒投票!
HopelessN00b
2
+1-我喜欢。继续战斗。
埃文·安德森
8

该语句:“确实,我似乎能找到的唯一理由是,从内部访问外部网站需要SRV DNS记录,并在浏览器中的网站名称前键入www。”。

这意味着您需要将所有公共记录的副本保存在AD DNS服务器中,这可能会引起问题,尤其是如果您没有正确执行-错过一些,等等。如果有人想访问ftp.company。 com,但您忘了在内部DNS中创建别名(或没有正确地自动创建别名),内部人员根本无法访问公共FTP站点。

在您链接到的问题中,这很充实: Windows Active Directory命名最佳实践?

如果维护DNS区域的多个副本是一个容易解决的问题,那么您要永远永远正确地解决它,那么我想您可以做您想做的事情。直到MS更改了一些会破坏它的东西。您可以按照他们的建议进行操作。

芬尼
source
好点子。当然,我们没有像这样的公共服务,而是将我们的虚拟主机外包出去,所以……不确定这有多重要,但是我可以将其添加到列表中。谢谢。
HopelessN00b 2014年
1
正如我编辑的那样-今天如何使用您公司的公共Internet身份可能无法准确反映出5年后将如何使用它。
mfinni 2014年
是的,面向未来……是另一个好选择。希望我能再给您+1。:)
HopelessN00b 2014年
5

我不太关心代表今天创建一个长答案...所以我将其简短。

以前我对split-dns很好,并多次实施它,直到Evan和Mark再次说服我。坦白地说,这不是不可能完成的……它可以做到,有些可能就可以了(尽管有额外的开销和完成的工作)。

对于我来说,几年前出现了2件事,这些事情使我不再使用它:

  1. 就像您在问题中指出的那样,您根本无法允许内部用户仅通过域名访问您的外部网站。不要问为什么这么大的问题,但是我们有一些内部用户会生气,因为他们只在浏览器中输入域名而不www打开实际网站,因为域名记录对应于AD域,不是进入www内部的全部内容,也不能在内部进行。
  2. 交换问题-交换自动发现可能无法获取证书,并会提示错误。这可以在内部和外部发生。当我们开始在Exchange组织上使用“外部林邮箱”时,情况变得更加明显,而他们没有看到与我们相同的内部DNS。

希望能有所帮助。

清洁工
source
1
呵呵……最终,@ MDMarra,我会让你像我们一样思考。
埃文·安德森
2
抵抗是徒劳的...您的广告将被同化为您主要域的子域!
病房-恢复莫妮卡
顺便说一句,我通过在所有DC上安装IIS并创建到www的ASP重定向页面来解决WWW问题。尽管对IIS的使用有些琐碎,但实际上,这很好用。
cscracker 2014年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.