命名新的 Active Directory 林 - 为什么不推荐使用水平分割 DNS？

有如此多的声誉。来到我身边，珍贵的。

好的，微软已经非常清楚地说明了您不应该使用水平分割或虚构的 TLD，正如您多次链接的那样（向我的博客致敬！）。这有几个原因。

1. www您在上面指出的问题。虽然很烦人，但不会造成任何影响。

2. 它迫使你维护重复记录全部面向公众的服务器也可以在内部访问，而不仅仅是www。mail.hopelessnoob.com是一个常见的例子。在理想情况下，你会有一个单独的外围网络来处理mail.hopelessnoob.com或 之类的事情publicwebservice.hopelessnoob.com。在某些配置下，就像具有内部和外部接口的 ASA，你需要内部-内部 NAT 或水平分割 DNS反正但是对于拥有合法外围网络的大型组织来说，其面向 Web 的资源不在发夹 NAT 边界之后 - 这会导致不必要的工作。

3. 想象一下这种情况 - 您既hopelessnoob.com在内部又在外部。您与一家公司合作example.com，他们做同样的事情 - 使用他们的 AD 和可公开访问的 DNS 命名空间在内部进行水平分割。现在，您配置站点到站点 VPN，并希望内部身份验证使信任能够穿越隧道，同时可以访问其外部公共资源以通过互联网进行访问。如果没有难以置信的复杂策略路由或持有其内部 DNS 区域的副本，这几乎是不可能的 - 现在您刚刚创建了一组额外的 DNS 记录来维护。所以你必须处理你那一端的发夹问题和他们的终端、策略路由/NAT 和所有类型的其他诡计。（我实际上就处于这种情况，我继承了一个 AD）。

4. 如果你曾经部署直接访问，它大大简化了您的名称解析策略 - 对于其他分割隧道 VPN 技术来说，这可能也是如此。

有些是极端情况，有些不是，但它们都是容易地避免。如果你从一开始就有能力做到这一点，那么最好以正确的方式去做，这样你十年后就不会再遇到这样的事情了。

此声明：“真的，我能找到的唯一理由是，从内部访问外部网站需要 SRV DNS 记录，并在浏览器中在网站名称前输入 www。”是不正确的。

这意味着你需要保留一份全部您的 AD DNS 服务器中的公共记录，这可能会导致问题，特别是如果您操作不当 - 错过一些等等。如果有人想要访问 ftp.company.com 但您忘记在内部 DNS 中创建别名（或没有正确自动化），内部人员根本无法访问公共 FTP 站点。

您链接的问题很好地阐述了这一点： Windows Active Directory 命名最佳实践？

如果维护 DNS 区域的多个副本对于你来说是一个可以永远正确解决的简单问题，那么我想你可以做你想做的事。直到 MS 做出一些破坏它的事情。你可以只要遵循他们的建议即可。

我不太关心今天要写一个长答案的代表...所以我会简短地说。

我以前对 split-dns 很满意，并多次实施它，直到 Evan 和 Mark 说服我改变主意。说实话，这并不是说它不能实现......它可以，而且有些人可能对它很满意（尽管它需要开销和工作量）。

几年前发生的两件事让我下定决心不使用它：

1. 正如您在问题中指出的那样，您根本无法允许内部用户仅通过域名访问您的外部网站。不要问这有什么大不了的，但我们有内部用户会非常生气，因为在浏览器中输入域名却无法www打开实际的网站，因为域记录对应于 AD 域，并不是访问的万能工具，www也不能在内部使用。
2. Exchange 问题 - Exchange AutoDiscover 可能无法获取证书并提示错误。这种情况可能发生在内部和外部。当我们开始在 Exchange Org 上拥有“外部林邮箱”并且它们看不到与我们相同的内部 DNS 时，这一点变得更加明显。

希望有所帮助。