Use a subdomain of an existing,registered domain name,and pick one that’s not going to be used externally.例如,如果我要合并并注册hopelessn00b.com域,我的内部AD林应命名为internal.hopelessn00b.com或ad.hopelessn00b.com或corp.hopelessn00b.com.
有绝对令人信服的理由避免使用“fake” tlds或single-label domain names,但我很难找到同样令人信服的理由避免使用根域(hopelessn00b.com)作为我的域名并使用子域名如corp.hopelessn00b.com代替.实际上,我似乎唯一可以找到的理由是从内部访问外部网站需要A名称DNS记录并输入www.在浏览器中的网站名称前面,就问题而言,这是非常“meh”.
那么,我错过了什么?为什么使用ad.hopelessn00b.com作为我的Active Directory林名而不是hopelessn00b.com好多了?
仅仅是为了记录,这真的是我的雇主需要令人信服 – 老板男人正在兜售,在给我开始为我们的内部网络创建一个名为corp.hopelessn00b’semployer.com的新AD森林之后,他想要坚持使用名为hopelessn00b’semployer.com的AD森林(与我们的外部注册域名相同).我希望我可以得到一些令人信服的理由或理由,最好的做法是更好的选择,所以我可以说服他…因为它似乎比愤怒戒烟和/或找到一份新工作更容易,至少对于此时此刻.现在,“微软最佳实践”和内部访问我们公司的公共网站似乎并没有削减它,我真的,真的,真的希望有人在这里有更有说服力的东西.
解决方法
好的,所以微软很好地记录了你不应该使用水平分割,或者你已经多次链接的组合TLD(向我的博客大喊大叫!).这有几个原因.
>您在上面指出的www问题.烦人,但不是交易破坏者.
>它强制您为所有可在内部访问的面向公众的服务器维护重复记录,而不仅仅是www. mail.hopelessnoob.com是一个常见的例子.在理想情况下,您可以为mail.hopelessnoob.com或publicwebservice.hopelessnoob.com提供单独的外围网络.对于某些配置,like an ASA with Internal and External interfaces,您无论如何都需要内部内部NAT或水平分割DNS,但对于具有合法外围网络的大型组织而言,面向Web的资源不在发夹NAT边界之后 – 这会导致不必要的工作.
>想象一下这种情况 – 你在内部和外部都是hopelessnoob.com.你有一个与你合作的公司,名为example.com,他们做同样的事情 – 内部与他们的AD和他们可公开访问的DNS命名空间分开.现在,您配置站点到站点VPN,并希望信任的内部身份验证能够遍历隧道,同时可以访问其外部公共资源以通过Internet进行访问.如果没有令人难以置信的复杂策略路由或拥有自己的内部DNS区域副本,现在几乎是不可能的 – 现在您刚刚创建了一组额外的DNS记录来维护.因此,您必须在结束和结束时处理发夹,策略路由/ NAT以及各种其他技巧. (我实际上是在这种情况下我继承了AD).
>如果您部署了DirectAccess,它会大大简化您的名称解析策略 – 对于其他拆分隧道VPN技术也是如此.
其中一些是边缘情况,一些不是,但它们都很容易避免.如果你有能力从一开始就做到这一点,不妨以正确的方式做到这一点,这样你就不会在十年内遇到其中的一个.
