我一直被教导使用内部域名(company.local
或company.corp
)Active Directory
而不是(company.com
或company.pl
)。最近,我们在想,通过使用外部域名,我们可以获得一些优势,例如 Exchange、Sharepoint 等证书,其中内部和外部名称完全相同,因此无需购买特殊证书。
这两种方式各有什么优缺点?这样做可能存在哪些问题,又可能带来哪些巨大优势?
答案1
在过去十年中,我构建并支持了数十个 Active Directory 林,从构建 10 个用户的 SBS 服务器到接管 6,000 个用户林和 50 多个 DC 的管理,再到重新设计整个林。我可以说,如果您计划得当,我认为没有理由不将您的 .com Internet 域名用作 AD 林名称。由于 Bonjour 与旧版 Mac OS X 不兼容,以及您引用的原因,微软几年前就不再建议使用 .local 域名。由于现在有了更好的工具和管理,从 Win2000 时代开始,将主域作为子域来创建“无成员”根域的想法也已不复存在。
在 Internet 和 AD 域相同的情况下进行“裂脑” DNS 的原因:
- 最佳原因:对于用户来说,Web 应用程序的 URL 在内部和外部都是相同的(建议通过 GPO 将内部域名添加到 IE 内联网安全区域)
- 选项可轻松使登录名和电子邮件地址相同(NT4 的登录方式是域\用户,但在现代 Windows 中也需要[电子邮件保护])
- OCS/Lync SIP 地址与电子邮件和登录名相同
- 您可以将公共证书用于内部服务器,而不是私有 CA
缺点:
- 分割隧道 VPN 当网络外部的客户端计算机需要决定使用 website.domain.com 的公共 IP 还是内部 IP 时,复杂性就开始发挥作用。通常,公司(为了节省成本和带宽)会为分割隧道设置客户端 Windows VPN 设置,这会告诉 Windows 仅将发往内部名称/IP 的流量发送到内联网。当 DNS 可以解析网络内部和外部的相同名称时,它应该选择使用哪个?对于客户端要使用的 DNS 记录(私有或公共),Windows 将为您提供混合结果。我的建议:不要允许在客户端 VPN 中使用分割隧道。
答案2
DNS 管理是您会遇到的主要难题。
- 域名解析:
域中的系统在请求域的 FQDN 时,需要能够解析域控制器。如果您的用户想要通过浏览器访问网站,那么就会出现问题company.com
;DNS 条目必须指向域控制器(用户需要输入www.company.com
网站)。
- 双区域管理:
同样,您的 Active Directory 服务器将被设置为该company.com
区域的权威服务器。因此,您将有效地管理该区域的两个副本;一个在 Active Directory 中,另一个是互联网用户将看到的副本。您的内部用户需要访问的所有条目都需要在两个地方创建和更新。
您提到的证书优势可以通过一些 DNS 技巧来实现,而不必承诺永远重叠。另一方面,从可用性的角度来看,让用户的电子邮件地址与他们的用户主体名称相匹配是有帮助的。
答案3
在参与了一个漫长(且非常昂贵)的广告迁移项目后,我已经成为拥有与您的公司名称“通用”的内部广告的粉丝。如果您所在的企业可能会被收购或与其他企业合并,您可能会发现您不一定需要因为业务决策而更改您的广告域。
例如,如果您从事鞋业,您可以购买像 corpshoe.net 这样的域名并仅将其用于活动目录。您的公司网站和电子邮件可以与您的常规域名保持不变,并且如果您的公司发生变化,您的广告也不必改变。
我还相信你应该在外部世界拥有自己的广告名称。它会让一切变得更容易。