我正在设置一个基于 Windows Server 2008 的新域,并且正在考虑域名。前段时间我读了一些 Microsoft 的文档,其中建议对“内部”企业域使用 .local 后缀,这样它们就不会与公开的互联网域发生冲突。例如,如果我的公司名为 Acme,并且我们的公开可见域(包括托管在托管服务提供商的网站)是acme.com,那么我们的“内部”Windows 域应该命名为acme.local。
然而,一段时间后,我阅读了微软的一些其他文档,他们与此相矛盾并建议不要这样做。
您觉得如何?内部域名的最佳命名方式是什么?有相关经验吗?
编辑。看来,尽管微软建议不要在“内部”网络中使用 .local 后缀,但它确实在某些产品(如 SBS)上强制使用这个后缀。有什么理由说明使用 .local 显然是个问题吗?
谢谢。
答案1
答案2
.local 域名后缀不是 FQDN,因此“不可路由”。这可以在一定程度上防止您的域名将信息传递到其边界之外。
例如,一个用户使用您仅供内部使用的 acme.com 域中的笔记本电脑接入其家庭网络。它尝试解析 acme.com 并与其最近的 DC 通信。您的外部 acme.com 突然发出与 AD 相关的流量,并且该流量直接在互联网上流动。
最糟糕的情况是,您选择了一个内部域名,而其他人在外部拥有相同的域名。现在,当您的用户离开站点时,他们的机器会尝试解析并联系该域名,但他们的流量却被发送到廷巴克图拥有 mysuperdomain.com 域名的某个随机公司。
如果您选择对内部和外部域使用相同的名称,内部和外部 DNS 配置也可能会遇到一些复杂情况。即使使用外部域名的子域(例如 AD.mycompany.com)也会导致 DNS 出现问题,通常是授予内部用户访问外部资源的权限。
我认为最佳做法是使用 mycompanyname.local 作为内部域,使用 mycompanyname.com(或类似的)作为外部域。
答案3
不要使用 .local。OS X 版 Bonjour 使用 .local 来发挥其“魔力”。因此,如果您使用 .local 作为顶级域名,那么如果您计划将 Mac 添加到您的网络,则需要克服额外的困难。.lan 既好又短。
答案4
微软实际上没有建议使用 .local 后缀。他们建议使用不可路由但唯一的域或子域,由贵公司控制。他们使用 copr.microsoft.com 作为示例。