使用真实域作为 Active Directory 域是否存在问题?

使用真实域作为 Active Directory 域是否存在问题?

有什么理由我不应该使用 example.com 作为我的 AD 域,而应该使用 example.local 或其他不存在的变体?

答案1

我喜欢这种方法...我发现唯一的 PITA 因素是如果你更改了外部 DNS(用于公共服务,而非 AD 链接)服务器,你必须记住将条目更改/添加到你的内部 DNS 服务器中。

因此,例如,如果您将您的网站移动到另一个 IP 地址并使用 register.com(或 godaddy 或其他网站)更改您的条目,您必须进入并更改本地 DNS 服务器上的 IP。

编辑:我偶然发现了一篇 MS 文章,名为“计算机、域、站点和 OU 的 Active Directory 命名约定“。

在该文件中,他们说:

连接到 Internet 的 DNS 命名空间必须是 Internet DNS 命名空间的顶级域或二级域的子域。

此外,在该文档中,他们推荐使用 corp.yourdomain.com 作为示例。

答案2

不要将您的“真实域名”用作 Active Directory 域名。AdamB 给出的“PITA 因素”正是不这样做的原因,而不仅仅是“PITA”。

为已经在其他地方拥有权威名称服务器的域设置权威 DNS 服务器是一种不好的做法。如果这样做,您很快就会想要解析“已经具有权威性”的名称,并且需要手动将记录复制到内部 DNS 服务器中。

如果您想要一个与您的“真实”域名相邻的命名空间,请尝试使用“ad.company.com”。不要使用“company.com”。

编辑:

现在我想我明白你的意思了。你应该真正了解 Active Directory 如何使用 DNS(http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx)你确实在本地托管 Active Directory 的 DNS!

您的互联网域名(用于您的电子邮件、网站等)的 DNS 绝对应该在外部托管,但它不必(实际上也不应该)与您用于 Active Directory 域名的域名相同。

您的外部 DNS 主机可能不会支持使 Active Directory 在其 DNS 服务器中正常工作所需的所有功能。特别是,它们可能不支持动态 DNS 注册或基于 GSSAPI 的安全更新。

除此之外,您所有域成员客户端和服务器计算机都需要 DNS 来执行登录和应用组策略等基本操作。您不会希望将其与您的 Internet 连接绑定在一起!

您必须使用 Windows Server 计算机来托管 Active Directory 本身。通常的做法是使用这些域控制器计算机来托管 Active Directory 的 DNS(并且通常将对其他名称的请求转发到 ISP 的 DNS 服务器或根 DNS 服务器),并将这些 DNS 服务器用作所有域成员客户端和服务器计算机的 DNS 服务器。

答案3

我接手了一个内部和外部 DNS 名称相同的网络。这是一家相对较小的企业,只有少数外部主机,所以我遇到的问题并不大。内部 DNS 托管在本地,我强烈建议您也这样做。外部 DNS 托管在 ISP 上,仅包含需要从 Internet 访问的主机的记录。我遇到的(小)问题主要是确保我在内部和外部 DNS 上复制任何可访问 Internet 的主机。

例如,邮件公司无论是在网络内部还是外部都可以访问,主机也是如此VPN 安全万维网我需要确保当任何主机发生更改时(它们确实发生过几次),两个 DNS 服务器都会更改。

底线是 - 这不是最佳做法。但如果您只有几个可访问 Internet 的主机,那就没什么大不了的。您确实应该在本地域控制器上托管 AD DNS。您可能不应该将本地 DNS 暴露给 Internet。

相关内容