为 Active Directory 选择本地域名与公共域名

为 Active Directory 选择本地域名与公共域名

选择本地域名(例如 mycompany.local)与选择公开注册的域名(例如 mycompany.com)有何优缺点(假设贵公司已注册公开名称)?何时您会选择其中一个?

更新

感谢 Zoredache 和 Jay 向我指出这个问题,其中有最有用的回复。这也让我找到了这个Microsoft Technet 文章,其中指出:

最好使用在 Active Directory 命名空间中向 Internet 机构注册的 DNS 名称。只有注册的名称才能保证全局唯一。如果其他组织后来注册了相同的 DNS 域名,或者您的组织与使用相同 DNS 名称的其他公司合并、收购或被其他公司收购,则这两个基础架构无法相互交互。

笔记

不建议使用单个标签名称或未注册的后缀,例如 .local。

结合mrdenny的建议,我认为正确的方法是使用:

  1. 永远不会公开使用的注册域名(例如 mycompany.org、mycompany.info 等)。
  2. 现有公共域名的子域名,永远不会公开使用(例如 corp.mycompany.com)。

“从未公开使用”部分是一项商业决策,因此最好获得公司内有权保留域名和子域名的人员的批准。例如,您不想使用营销部门以后要用于某些公共营销活动的注册名称或子域名。

答案1

以下是我对类似问题的回答的摘录: 私有网络的顶级域名/域名后缀?

微软建议

  1. 互联网上不可用的专用注册域名

  2. 公共域名的子域,用作 Active Directory 林根域名

自从 Windows 2000 Server 中发布 Active Directory 以来,它一直如此。对我来说,使用公共域名的子域的主要好处是命名空间的一致性,从而让您、其他管理员和用户不必记住一件事。


对于您不希望其名称在 Internet 上公开的内部计算机,请使用公司注册域的子域。(当然,只将这些名称托管在您的内部 DNS 服务器上。)以下是虚构示例公司的一些示例。

面向 Internet 的服务器:
www.example.com
mail.example.com
dns1.example.com

内部机器:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

我使用“corp”来表示这个子域名描述的是公司内部网络上的机器,但您可以在这里使用任何您想要的名称,例如“internal”:client1.internal.example.com。

答案2

使用相同的域名会使事情变得困难。

不幸的是,使用 .local 也会导致问题。特别是 .local 用于你好/Zeroconf。如果您使用 .local tld,则需要调整运行 avahi 的任何 OSX 机器或 Linux 主机上的设置。

在有些相关的问题中私有网络顶级域名'。有很多关于你应该做什么的建议不是使用,但对于私有网络应该使用什么 TLD,并没有达成共识。

除非我弄错了,如果弄错了请纠正我,但我不相信 IETF、IANA 或任何其他标准机构允许使用 .local 进行任何操作。

答案3

您实际上不应该使用公共域名作为您的 AD 名称。

  1. 您会发现的第一个问题是访问您自己的公共网站。您的公共网站的名称与您的内部网站名称相匹配。因此,当您执行 for 时,nslookupmycompany.com会返回内部 AD 服务器的 IP 地址,而不是公司网站的公共 IP。如果您为公共网站设置了 FTP 名称,您也无法找到该名称。

    解决此类问题的方法是将公共名称和 IP 放入您的内部 DNS,以便您可以从防火墙内部访问它们,但这意味着当公共端发生任何变化时,您现在必须管理两个 DNS 场。

  2. 将它们分开的另一个原因是,这样攻击者就不知道您的内部域名。不知道域名只是攻击者需要弄清楚的难题之一。

答案4

上面提到的 TechNet 文章比这篇文章更旧;

在这里,微软一直建议对 Active Directory 域名使用私有命名空间。您还将找到有关使用公开注册域名的缺点和问题的详细信息。

相关内容