Windows Active Directory 命名最佳实践?

Windows Active Directory 命名最佳实践?

这是一个典型问题关于 Active Directory 域命名。

在虚拟环境中试验了 Windows 域和域控制器之后,我意识到拥有一个与 DNS 域同名的活动目录域是个坏主意(这意味着example.com当我们注册域名作为我们的网站使用时,将其作为活动目录名称是不行的example.com)。

这个相关问题似乎支持这一结论,但我仍然不确定围绕命名 Active Directory 域还有哪些其他规则。

关于 Active Directory 名称应该是什么或不应该是什么,有没有什么最佳实践?

答案1

这是 Server Fault 上一个有趣的讨论话题。似乎对这个话题有不同的“宗教观点”。

我同意微软的建议:使用公司已注册的互联网域名的子域名。

因此,如果您拥有foo.com,请使用ad.foo.com或类似的东西。

在我看来,最卑鄙的做法是将注册的 Internet 域名逐字逐句地用作 Active Directory 域名。这会导致您被迫手动将记录从 Internet DNS(如www)复制到 Active Directory DNS 区域,以允许解析“外部”名称。我见过非常愚蠢的事情,例如在运行网站的组织的每个 DC 上都安装了 IIS,该网站会进行重定向,这样进入foo.com浏览器的人就会被www.foo.com这些 IIS 安装重定向到。太愚蠢了!

使用 Internet 域名不会给您带来任何好处,但每次更改外部主机名引用的 IP 地址时都会产生“麻烦”。(尝试为外部主机使用地理负载平衡的 DNS,并将其与这种“拆分 DNS”情况集成!哇——那会很有趣……)

顺便说一句,使用这样的子域名对 Exchange 电子邮件传递或用户主体名称 (UPN) 后缀等没有影响。(我经常看到这两者都被引用为使用 Internet 域名作为 AD 域名的借口。)

我也看到了“很多大公司都这么做”这个借口。大公司做出愚蠢决定的几率和小公司一样大(如果不是更大的话)。我不会仅仅因为大公司做出了一个糟糕的决定,而这个决定却不知何故变成了一个好的决定就相信这一点。

答案2

这个问题只有两个正确答案。

  1. 您公开使用的域的未使用子域。例如,如果您的公共网络存在是example.com您的内网 AD,则可能将其命名为ad.example.cominternal.example.com

  2. 未使用的二级域名你拥有的并且不要在其他地方使用。例如,如果您的公共网络存在是example.com您的 AD 可能会被命名为example.net 只要你已经注册example.net并且没有在其他任何地方使用它!

这是你唯一的选择。如果你选择其他选择,你将会面临很多痛苦和折磨。


但每个人都使用.local!
没关系。你不应该这么做。我曾在博客中讨论过 .local 和其他虚构 TLD(如 .lan 和 .corp)的使用. 在任何情况下你都不应该这样做。

它并不更安全。它不是某些人声称的“最佳实践”。而且它没有任何比我所提出的两种选择更有优势。

但我想将其命名为我的公共网站的 URL,以便我的用户example\user能够ad\user
这是一个合理但错误的担忧。当您升级域中的第一个 DC 时,您可以将域的 NetBIOS 名称设置为您想要的任何名称。如果您按照我的建议并将域设置为ad.example.com,则可以将域的 NetBIOS 名称配置为 ,example以便您的用户以 身份登录example\user

在 Active Directory 林和信任中,您还可以创建其他 UPN 后缀。没有什么可以阻止您创建并将 @example.com 设置为域中所有帐户的主要 UPN 后缀。当您将此与之前的 NetBIOS 建议相结合时,没有最终用户会看到您域的 FQDN 是ad.example.com。他们看到的所有内容都将是example\@example.com。唯一需要使用 FQDN 的人是使用 Active Directory 的系统管理员。

此外,假设您使用水平分割 DNS 命名空间,这意味着您的 AD 名称与面向公众的网站相同。现在,example.com除非您在浏览器中为用户添加前缀,或者您在所有域控制器上运行 IIS(这很糟糕),否则您的用户无法在内部访问。www.您还必须策划共享不相交命名空间的非相同 DNS 区域。这确实比它的价值更麻烦。现在想象一下,您与另一家公司有合作关系,并且他们也有一个带有 AD 和外部存在的水平分割 DNS 配置。两者之间有一条专用光纤链路,您需要建立信任。现在,您到任何公共站点的所有流量都必须经过专用链路,而不仅仅是通过互联网。这也给双方的网络管理员带来了各种麻烦。避免这种情况。相信我。

但但但...
说真的,没有理由不使用我建议的两种方法之一。任何其他方法都有陷阱。我并不是说如果您的域名功能正常且到位,就急于更改域名,但如果您要创建新的 AD,请执行我上面推荐的两种方法之一。

答案3

为了协助MDMarra的回答:

你应该切勿使用单标签 DNS 名称您的域名也一样。这在 Windows 2008 R2 之前可用。原因/解释可以在这里找到: 使用单标签 DNS 名称配置的 Active Directory 域的部署和操作 | Microsoft 支持

不要忘记不要使用保留字(此帖子底部的“命名约定”链接中包含一个表格),例如 SYSTEM 或 WORLD 或 RESTRICTED。

我也同意微软的观点,你应该遵循另外两条规则(虽然不是一成不变的,但仍然适用):

  1. 您不应根据会发生变化或过时的内容来命名您的域名。例如,以产品线、操作系统或其他可能随时间变化的事物来命名您的域名。坚持使用地理或具体的东西,以便在 5 年甚至 10 年后仍然有意义。
  2. 坚持使用 15 个或更少字符的短名称,这将允许 NETBIOS 名称很容易与域名相同。

最后,我建议你尽可能地从长远考虑。公司确实会经历合并和收购,即使是小公司也是如此。还要考虑寻求外部帮助/咨询。使用域名、AD 结构等,这些都可以毫不费力地向顾问或 SF 上的人解释清楚。

知识链接:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

Microsoft 当前(W2k12)针对根林域名的推荐页面

答案4

Example.com 是服务于同名域区域的 DNS 主机别名。将其用于其他目的,例如https://example.com,这是不正确的:网络主机必须有一个合适的名称,例如www.example.com就像 DNS 主机以外的任何其他资源一样。假设您需要移动网站https://example.com到与 DNS 服务主机不同的主机。唯一的选择是在 DNS 主机上运行具有重定向功能的 Web 服务(无论是否有 AD),这是许多人为了捕获不良 Web 请求所做的。结论。除 DNS 之外的服务不应使用区域名称作为自己的名称。关于 AD 服务。AD 服务建立在 DNS 服务器之上,其名称字面意思是将在其中注册 AD 对象的域区域的名称,无论它是主区域还是子区域都无关紧要。如果域区域的所有资源都有自己的名称,则无需为 DNS AD 分配子区域(AD 本身会在必要时创建多个子区域)。如果 AD(具有主域区域的名称)位于本地网络上,则会出现 DNS 区域分层的“问题”;这实际上不是一个问题 - 它是一种确保在 LAN 和 WAN 上使用相同名称(但不同的 IP 地址)的机制。这种机制将给管理员带来额外的烦人工作。另一种选择是使用子区域,这样可以减轻管理员的负担,但同时也会给用户和开发人员带来繁琐的工作,因为相同资源的全名在本地和全球网络上是不同的。

相关内容