如果你看看Microsoft 最佳实践对于建立新的林/域,他们提出的一些建议与网上的其他建议相冲突,而且我曾经合作过的任何一家公司都没有遵循这些建议。
例如,最佳实践指定使用在 Active Directory 命名空间中向 Internet 机构注册的 DNS 名称,因为它们是全局唯一的。然后,他们建议在注册的 DNS 名称中添加前缀以创建新的从属名称。例如,如果 DNS 根名称是 contoso.com,则应创建 Active Directory 林根域名,例如 concorp.contoso.com ...
在很多地方,我都看到有人建议不要使用 Internet 注册名称,因为内部网络流量会路由到外部 IP,而且 DFS 共享也存在问题。我也很少看到公司使用“corp.company.com”命名域名。他们通常使用“company.com”或“company.local”之类的名称。
最后,最佳实践建议将根域留空以管理域,并创建单个全局子域。按照这种做法,将产生像“domain.corp.company.com”这样的域名,我从未见过这样的域名。
是否存在没有遵循最佳实践的原因,或者尽管遵循了最佳实践,但我没有正确查看其结构?
答案1
可惜我没能赶上派对,是吧?不管怎样,我还是会尝试一下。
我教授 MCSE 课程已有数年,微软在其各种培训材料之间的建议始终相当一致。
不要使用不属于您的域名作为您的 Active Directory 域名(例如 microsoft.com)。
不要对其他 DNS 服务器已经拥有权威性的域名使用 FQDN(例如 company.com)
请对域名使用全球唯一的 FQDN(例如 ad.company.com、corp.company.com)。
我相信“.local” TLD“推荐”开始于 Windows Small Business Server 2003 时代。“.local” TLD 未被 ICANN 保留,尽管目前还不确定它是否会在互联网上“真正”使用(我相信 Zeroconf 协议也依赖于“.local” TLD)。
我曾经历过太多使用“company.com”作为 AD 域名的环境,因此不得不进行愚蠢而丑陋的黑客攻击,包括手动将 DNS 记录从 Internet DNS 服务器复制到支持 AD 的 DNS 服务器。我在这个网站上回答了大量问题,这些问题归结于这个糟糕的域名选择导致必须实施黑客攻击(必须运行 Web 服务器以重定向到每个 AD 域控制器上的“真实”的“company.com”网站等)。
我不知道为什么公司坚持使用“company.com”命名 AD 域。这只会带来问题。任何您应该这样做的理由很好,而且它“违背”了 DNS 的基本原则,即世界上只有一组 DNS 服务器应该对给定的 DNS 域名具有权威性。(我经常听到“UPN 后缀”的说法。例如,如果您希望用户拥有“@company.com”的 UPN 后缀,则可以这样做,而无需实际将域命名为“company.com”。如果您愿意,所有用户都可以拥有“@whitehouse.gov”UPN 后缀,无论域名是什么...)
我自己一直对“ad.company.com”有偏见。
“空根”域的想法纯粹是一种政治构想。最初(W2K 时间框架)微软宣称“空根”是一种在组织各部分之间隔离安全问题同时仍拥有单一 AD 基础架构的方法。幸运的是,他们已经放弃了这种态度(尽管他们不一定回去纠正所有错误的文档),因为已经证明 AD 林中任何域中的“域管理员”成员都可以相当轻松地成为“企业管理员”组的成员。
因此,如今“空根”实际上只用于政治目的。我认为它根本没有用处,因为它增加了不必要的复杂性(永远不要在单域环境可以做到的地方使用多域环境)并且不提供真实的优点。
如果您希望组织中的关注点之间实现安全隔离,则必须使用多林部署(这绝对是最无趣的环境,应不惜一切代价避免)。
答案2
您所描述的内容直接出自 MCSE 课程。
关于他们的最佳实践,需要记住的一件事是,他们正在谈论从大量实施 Active Directory 中得出的经验。
我不想假设太多,但根据你的问题,我猜你属于 SMB 领域?由于规模问题,并非所有这些最佳实践都一定适用于该领域。
关于 DNS 域名,选择“真实”域的建议可能是基于同时托管 Exchange 的 AD 林。这样的配置使两者都更易于管理。更好的方法是注册真实域,然后将 TLD 更改为 AD 的 .local。您的 AD DNS 域名将是 contoso.local,“真实”名称将是 contoso.com。然后,为 Exchange 的真实名称配置备用 SPN 后缀。听起来很麻烦,但值得这样做,因为不必处理裂脑 DNS 等。
至于如何处理林根域,他们的建议是基于更严格地划分林内对象的管理安全性。您可能有组织边界,要求某些部门/业务部门等为其域配备域管理员。还有其他好处,但这可能是最常见的好处。
答案3
我会告诉你我所遵循的原则......
- 对于域环境,请始终使用非互联网域名后缀, IE.lan或者。当地的- 由于 DNS,这很快就会变成一件大事。假设您的网站托管在其他地方,并带有几个子域,您的网站是 company.com,您的 AD 域也是 company.com。您的工作站寻找 www.company.com 来访问您的网站,但您的 AD DNS 响应“未找到”,因为它认为这是 company.com 的授权机构,而您在网络上没有名为“www”的机器。当您有 VPN 用户时,情况正好相反;您的 VPN 用户可以尝试访问 myserver.company.com,但 DNS 查找转到您的网站 DNS 服务器而不是 AD 服务器......您明白了。.lan 后缀可以缓解这种情况。
- 如果您知道最终会支持分支机构,那么将根域留空是合理的。如果不是,则没有理由增加额外的复杂性和额外的域控制器。
答案4
我的经验是,使用 corp.company.com 或 companycorp.com,这样就不在“正常”的 Web DNS 空间中了。这样,您有一天就可以真正上网了(但现在保留名称)。AD 可以持续很长时间……想想遥远的未来,也许您的机器可以在没有 VPN 的情况下在真正的互联网上进行身份验证。
实际上,我真正想要使用的(但遭到了拒绝)是某种 GUID 概念。我的公司已经改名两次,合并一次。AD 经历了这一切,现在我因为“旧”公司名称而备受关注,当我请求资源来更改它时,电话却出奇地安静。想想 IP 地址或以太网 MAC 地址……“ad12345.com”。您向标准机构请求一个唯一的名称。
当然,corp 可以是任何其他名称,但要注意国际化...记住“Nova”汽车名称问题。
我们使用了空根概念,但它并没有提供任何价值。事实上,从政治角度来看,它鼓励了更为复杂的多领域。
哦,有一家使用 corp 概念的公司是......microsoft.com。然而,它们针对各大洲运行单独的域名。