在运行 Windows Server 2012 R2 的域控制器上的 Active Directory 中创建新林时,系统提示我指定根域名。域名必须由我注册并拥有吗?如果我输入由其他人注册并拥有的域名(如 microsoft.com),会发生什么情况?稍后,当我尝试将 Windows 计算机添加到此域时,它会进入互联网并搜索 microsoft.com 还是仅在其子网(我的域控制器)中搜索?只输入由 microsoft.com 等拥有的域名是否安全/更可取?
答案1
Active Directory 域名仅供内部使用,因此您可以您可以随意命名它;但是在 Active Directory 环境中,域名还充当域中所有计算机的 DNS 后缀,并且域控制器充当内部 DNS 服务器,这些服务器对该 DNS 域具有权威性(或至少表现得像以前一样)。
这意味着,如果 AD 域名与 Internet 上存在的实际域名冲突,则该域的所有 DNS 查询都将由您的 DC 回答,而不是由管理它的实际 Internet DNS 服务器回答。就您而言,如果您将域命名为“microsoft.com”,那么在尝试连接到 Microsoft 站点或服务时,您会遇到各种问题,因为您无法查询该域的公共 DNS 服务器(因为您的内部 DNS 服务器会认为它们理应拥有该域)。
顺便说一句,如果您使用真实的公共 DNS 域作为您的 Active Directory 域,情况也是如此:事情当然要简单得多,因为您实际上拥有它们,但这仍然需要您为同一个域维护两个不同的 DNS 设置,一个用于 Internet,一个用于您的内部网络。
作为最佳实践,您应该使用子域名将您的公共 DNS 域作为您的 AD 域名;如果您的公共域是“domain.com”,则可以使用“internal.domain.com”或“ad.domain.com”或其他任何名称,只要它是一个有效的子域;这将确保不会发生冲突并且减少很多麻烦。
无论如何,你应该不是使用任何您实际上并不拥有的域名,即使它当前不活跃(因为它仍然可以被其他人在以后注册,并且会随之而来麻烦)。
答案2
作为最佳实践,您仅将本地 DC 配置为计算机的 DNS(无外部 DNS)。
因此,这意味着所有对 *Microsoft.com 的查询都将由您的 DC 应答,并且如果他们尝试访问像 support.microsoft.com 或其他任何地方的网站,大多数情况下都会因未知而失败。
现在,通过国家顶级域名,您可以拥有很多域名,而且不需要花费任何费用,没有理由不拥有它。