关于 AD 命名最佳实践,我非常仔细地阅读了这篇文章问答在serverfault.com上,此 Samba 常见问题解答以及微软的各种文档。我 100% 同意一般建议:使用主域的合适子域(即:)ad.example.com作为 AD 名称。
但是,当使用这样的设置时,我想知道如何正确管理既可以在内部网络上又可以在远程连接上的移动主机(例如,笔记本电脑和智能手机)。
举一个实际的例子,让我们考虑一个带有内部邮件服务器的简单邮件客户端设置。有了专用的三级域名 ( ad.example.com),我有两个选择:
- 使用 来设置内部邮件客户端
mail.ad.example.com:虽然它在网络内部运行良好,但当客户端处于远程连接时就会崩溃。要求用户更改其邮件配置绝对不切实际,所以让我们完全放弃这个选项; - 使用外部域名设置内部邮件客户端,因此
mail.example.com:这对于内部和外部客户端都应该正常工作,但内部流量不是最理想的,因为客户端使用外部域名解析内部邮件服务器地址民众IP 地址和流量在边缘防火墙上来回跳动。这会导致设备负载增加,对于深度检查(实际上仅用于内部)流量的 UTM 防火墙来说,情况更糟。
您如何应对上述情况?您只是接受并增加边缘防火墙的负载吗?
我知道使用拆分 DNS 命名方案(即在外部和内部 DNS 上)可以完全避免此问题example.com;但是,此命名方案有其自身的缺点并且(理所当然地)通常不推荐。
答案1
对内部和外部邮件客户端使用 mail.example.com。内部 DNS 服务器上的记录应将客户端指向内部邮件服务器地址。网络外的客户端将被路由到外部邮件服务器地址。