我一直被教导使用内部域名(company.local或company.corp)Active Directory而不是(company.com或company.pl)。最近,我们在想,通过使用外部域名,我们可以获得一些优势,例如 Exchange、Sharepoint 等证书,其中内部和外部名称完全相同,因此无需购买特殊证书。
这两种方式各有什么优缺点?这样做可能存在哪些问题,又可能带来哪些巨大优势?
答案1
在过去十年中,我构建并支持了数十个 Active Directory 林,从构建 10 个用户的 SBS 服务器到接管 6,000 个用户林和 50 多个 DC 的管理,再到重新设计整个林。我可以说,如果您计划得当,我认为没有理由不将您的 .com Internet 域名用作 AD 林名称。由于 Bonjour 与旧版 Mac OS X 不兼容,以及您引用的原因,微软几年前就不再建议使用 .local 域名。由于现在有了更好的工具和管理,从 Win2000 时代开始,将主域作为子域来创建“无成员”根域的想法也已不复存在。
在 Internet 和 AD 域相同的情况下进行“裂脑” DNS 的原因:
- 最佳原因:对于用户来说,Web 应用程序的 URL 在内部和外部都是相同的(建议通过 GPO 将内部域名添加到 IE 内联网安全区域)
- 选项可轻松使登录名和电子邮件地址相同(NT4 的登录方式是域\用户,但在现代 Windows 中也需要[电子邮件保护])
- OCS/Lync SIP 地址与电子邮件和登录名相同
- 您可以将公共证书用于内部服务器,而不是私有 CA
缺点:
- 分割隧道 VPN 当网络外部的客户端计算机需要决定使用 website.domain.com 的公共 IP 还是内部 IP 时,复杂性就开始发挥作用。通常,公司(为了节省成本和带宽)会为分割隧道设置客户端 Windows VPN 设置,这会告诉 Windows 仅将发往内部名称/IP 的流量发送到内联网。当 DNS 可以解析网络内部和外部的相同名称时,它应该选择使用哪个?对于客户端要使用的 DNS 记录(私有或公共),Windows 将为您提供混合结果。我的建议:不要允许在客户端 VPN 中使用分割隧道。
答案2
DNS 管理是您会遇到的主要难题。
- 域名解析:
域中的系统在请求域的 FQDN 时,需要能够解析域控制器。如果您的用户想要通过浏览器访问网站,那么就会出现问题company.com;DNS 条目必须指向域控制器(用户需要输入www.company.com网站)。
- 双区域管理:
同样,您的 Active Directory 服务器将被设置为该company.com区域的权威服务器。因此,您将有效地管理该区域的两个副本;一个在 Active Directory 中,另一个是互联网用户将看到的副本。您的内部用户需要访问的所有条目都需要在两个地方创建和更新。
您提到的证书优势可以通过一些 DNS 技巧来实现,而不必承诺永远重叠。另一方面,从可用性的角度来看,让用户的电子邮件地址与他们的用户主体名称相匹配是有帮助的。
答案3
在参与了一个漫长(且非常昂贵)的广告迁移项目后,我已经成为拥有与您的公司名称“通用”的内部广告的粉丝。如果您所在的企业可能会被收购或与其他企业合并,您可能会发现您不一定需要因为业务决策而更改您的广告域。
例如,如果您从事鞋业,您可以购买像 corpshoe.net 这样的域名并仅将其用于活动目录。您的公司网站和电子邮件可以与您的常规域名保持不变,并且如果您的公司发生变化,您的广告也不必改变。
我还相信你应该在外部世界拥有自己的广告名称。它会让一切变得更容易。