这是有关Active Directory域命名的规范问题。
在虚拟环境中试用Windows域和域控制器后,我意识到,将活动目录域命名为与DNS域相同是一个坏主意(意味着example.com当我们拥有example.com域名时,将其作为Active Directory名称是不好的注册用作我们的网站)。
这个相关的问题似乎支持该结论,但是我仍然不确定围绕Active Directory域命名的其他规则。
是否有关于Active Directory名称的最佳实践?
这是有关Active Directory域命名的规范问题。
在虚拟环境中试用Windows域和域控制器后,我意识到,将活动目录域命名为与DNS域相同是一个坏主意(意味着example.com当我们拥有example.com域名时,将其作为Active Directory名称是不好的注册用作我们的网站)。
这个相关的问题似乎支持该结论,但是我仍然不确定围绕Active Directory域命名的其他规则。
是否有关于Active Directory名称的最佳实践?
Answers:
这是有关服务器故障的有趣话题。关于该主题似乎有不同的“宗教观点”。
我同意Microsoft的建议:使用公司已注册的Internet域名的子域。
因此,如果您拥有foo.com,使用ad.foo.com或类似的东西。
如我所见,最邪恶的做法是将注册的Internet域名逐字用作Active Directory域名。这将导致您不得不手动将记录从Internet DNS(例如www)复制到Active Directory DNS区域中,以允许解析“外部”名称。我见过像运行一个网站,做了重定向,使得有人进入一个组织安装在每一个DC IIS完全愚蠢的事情foo.com到他们的浏览器将被重定向到www.foo.com这些IIS安装。完全愚蠢!
使用Internet域名没有任何好处,但是每次更改外部主机名所引用的IP地址时,都会创建“ make work”。(尝试对外部主机使用地理上负载均衡的DNS,并将其与这种“拆分DNS”情况集成在一起!e,这很有趣...)
使用这样的子域不会影响Exchange电子邮件传递或用户主体名称(UPN)后缀BTW。(我经常看到这两者都是使用Internet域名作为AD域名的借口。)
我还看到“很多大公司都这样做”的借口。大公司可以比小公司更容易(如果不是更多)做出明智的决定。我不会仅仅因为一家大公司做出了错误的决定而以某种方式使它成为一个好的决定来购买它。
这个问题只有两个正确答案。
您公开使用的域的未使用子域。例如,如果您的公共Web站点是example.com您的内部AD,则可以将其命名为ad.example.com或internal.example.com。
您拥有且未在其他任何地方使用的未使用的二级域。例如,如果您已经注册了公共Web站点,那么您example.com的AD可能会被命名example.net ,example.net并且不要在其他任何地方使用它!
这是您仅有的两个选择。如果您做其他事情,您将遭受很多痛苦和折磨。
但是每个人都使用.local!
没关系 你不应该 我已经在博客中介绍了.local以及其他.TL和.corp组成的TLD的用法。在任何情况下都不应该这样做。
这不是更安全。这不是某些人声称的“最佳实践”。而且,与我提出的两个选择相比,它没有任何好处。
但是,我想将其命名为与公共网站的URL相同,以便我的用户使用“ URL” example\user。ad\user
这是一个有效的但误导的问题。升级域中的第一个DC时,可以将域的NetBIOS名称设置为所需的名称。如果您遵循我的建议并将域设置为ad.example.com,则可以将域的NetBIOS名称配置为,example以便您的用户以身份登录example\user。
在Active Directory林和信任关系中,您也可以创建其他UPN后缀。没有什么可以阻止您创建@ example.com并将其设置为您域中所有帐户的主要UPN后缀。当您将此与以前的NetBIOS建议结合使用时,最终用户将看不到您域的FQDN为ad.example.com。他们看到的一切都会是example\或@example.com。唯一需要使用FQDN的人就是使用Active Directory的系统管理员。
另外,假定您使用水平分割DNS名称空间,这意味着您的AD名称与面向公众的网站相同。现在,example.com除非您www.在其浏览器中使用前缀或在所有域控制器上运行IIS,否则您的用户就无法进入内部状态(这很糟糕)。您还必须策划两个共享不连续名称空间的非相同DNS区域。确实比其价值更麻烦。现在,假设您与另一家公司建立了合作伙伴关系,并且他们还拥有带有其AD和外部存在的水平分割DNS配置。两者之间有一条专用光纤链路,您需要建立信任关系。现在,您到任何公共站点的所有流量都必须遍历专用链接,而不是仅通过Internet传输。这也给双方的网络管理员带来了各种各样的麻烦。避免这种情况。相信我。
但是但是但是...
认真地说,没有理由不使用我建议的两件事之一。任何其他方式都有陷阱。我不是要告诉您如果域名正常运行就急于更改您的域名,但是如果您要创建一个新的AD,请执行上面我建议的两件事之一。
为了协助MDMarra回答:
您也不要为域名使用单标签DNS名称。Windows 2008 R2之前/之前提供了该功能。在这里可以找到原因/解释: 通过使用单标签DNS名称配置的Active Directory域的部署和操作| 微软支持
别忘了不要使用保留字(本文底部的“命名约定”链接中包含一个表),例如SYSTEM或WORLD或RESTRICTED。
我也同意Microsoft的观点,即您应该遵循两个附加规则(虽然不是一成不变的,但是仍然是):
最后,我建议您尽可能长远地考虑。公司确实要进行并购,甚至是小型公司。还应考虑获得外部帮助/咨询。使用域名,AD结构等,可以轻松地为SF的顾问或此处的人员解释。
知识链接:
http://technet.microsoft.com/zh-cn/library/cc731265%28v=ws.10%29.aspx
http://support.microsoft.com/kb/909264
我不同意使用:
我可以接受使用:
但是我不会自己做或推荐它。在公司接管过程中,重塑品牌的一切都将变得一团糟,特别是当那时的管理层希望事情立即改变时。重命名迁移,更改非常困难或代价昂贵。
我建议的最佳方式是购买与公司名称无关,也与公司品牌无关的域名。只要您可以拥有SIMPLE.CLOUD或类似产品就可以。
我看到有15万用户使用AD的大型公司仍在引用他们几年前购买的旧公司,或者更改过名称的公司,即使从长远来看,您使用\ login也是如此(如果您不能使用UPN),在管理人员面前仍然很糟糕,他们不理解为什么更改它并不容易。
我总是这样mydomain.local。
local 不是有效的TLD,因此它永远不会与实际的公共DNS条目竞争。
例如,我喜欢能够web1.mydomain.local解析为Web服务器的内部IP,而web1.mydomain.com解析为外部IP。
.local查询锤击了根L服务器 -当我看时约为800 / sec。
corp描述性不如foo。