company.com互联网上的最佳实践会让你相信,如果你注册公共域名,然后在 Active Directory 中使用相同的域名,天就会掉下来。这里, 和这里例如。然而,在所有这些可怕的警告中,我看到的唯一具体原因是内部 DNS 上的用户必须键入www.company.com才能访问外部网站,而不仅仅是company.com。MS 暗示了一些将被破坏的“未来兼容性”,但从我读过的关于这个主题的论坛帖子来看,这种说法至少从 2008 年服务器版本就已经存在了。
出于某种原因,似乎许多警告还假设,如果您对 AD 使用相同的 DNS 名称,那么您将把 AD 区域暴露给互联网,并允许所有内部名称在外部解析。这绝对不是我要问的。
假设我忽略了这个建议并用作company.com我的 AD 名称。潜在问题是:
在 Web 浏览器中输入内容
company.com将尝试转到域控制器而不是www.company.com。根本不是问题。内部名称仍是内部名称。我们的互联网可访问区域文件中没有
dc01.company.comA 记录。外部名称(如www、vpn)mail都与我们的内部 DNS 无关。这TechNet 文章警告了类似“DNS 操作灵活性较低、自动化程度较低“ 和 ”不稳定[原文如此]操作和次优性能”但没有提供任何细节或理由。
假设我遵循这个建议许多人都牢记在心并使用ad.company.com。我现在要处理以下问题:
具有与域名不匹配的不同 NETBIOS 名称。这实际上并不困扰我,但这是您必须考虑的事情。
在 ADUC 中创建用户时,默认的 UPN 后缀是
@ad.company.com。用户的 UPN 后缀应与其电子邮件地址匹配,因此创建用户的任何人都必须知道要使用哪个 UPN 后缀,并且它不是默认的。还有一件事要忘记。AD 仍然需要
ad.company.comDNS 区域才能运行。如果我希望计算机可解析,computer.company.com我必须管理另一个 DNS 区域以及 DNS 注册后缀和搜索后缀。
所有这些都是为了让人们不必输入“www”(这对我来说不是一个实际问题,甚至不在我的考虑范围内)?
使用公共注册的域名作为AD域名的实际危险是什么?
附加问题:当 AD 拥有用于存储 AD 相关信息的company.com整个命名空间时,首先指向域控制器的目的是什么?_msdcs
答案1
具有与域名不匹配的不同 NETBIOS 名称。这实际上并不困扰我,但这是您必须考虑的事情。
不是,在创建域时,您肯定能够指定域的 NetBIOS 名称。
在 ADUC 中创建用户时,默认的 UPN 后缀是 @ad.company.com。用户的 UPN 后缀应与其电子邮件地址相匹配,因此创建用户的任何人都必须知道要使用哪个 UPN 后缀,并且它不是默认的。还有一件事要忘记。
如果还没有,那么应该很快就能实现自动或脚本化的新账户登录。这将减轻您对以下问题的担忧:可能如果创建用户时使用了错误的 UPN 后缀,就会发生这种情况。
或者,只需每晚进行一次清理任务,查找具有错误 UPN 后缀的用户帐户并进行相应更新,这是件小事。
所有这些都是为了让人们不必输入“www”(这对我来说不是一个实际问题,甚至不在我的考虑范围内)?
不,我相信这样做的目的是为了避免分裂 DNS,即两个不同的 DNS 基础设施负责同一个命名空间。不过,这对你来说不是问题现在并不意味着它将来不会成为您或您的继任者的问题——特别是因为这是一种最佳实践,因此解决方案供应商可能会开始考虑到这一点来设计解决方案。
使用公共注册的域名作为AD域名的实际危险是什么?
我不知道是否存在巨大的“危险”(当然不是您认为的危险 - 因为您没有提及文章中的任何其他潜在问题);但是,根据我的经验,当人们面临普遍接受的(实际的 - 由供应商定义)“最佳实践”时,如果没有有效的商业或技术原因,人们不会偏离最佳实践。
编辑:无论如何——以最尊重的方式——我没有看到任何有效的提出的业务或技术原因可以解释为什么最佳实践应该被忽略。因此,我建议善待你的雇主和继任者 - 并从符合最佳实践的环境开始。
答案2
用户的 UPN 后缀应与他们的电子邮件地址相匹配,因此创建用户的任何人都必须知道要使用哪个 UPN 后缀,并且它不是默认的。
从技术角度来看,UPN 后缀不需要与电子邮件地址匹配。
微软的想法是,用户记住电子邮件地址比记住用户名更容易,因此使用与电子邮件地址匹配的 UPN 后缀/用户主体名称将使用户的登录过程更简单、更直观。问题是它从未真正流行起来。
其中一个原因是可能如果您要将本地用户同步到 Office 365,则需要 UPN 后缀与电子邮件地址匹配。同样,这不是技术要求,但它使用户在访问 Office 365 服务(如 Exchange Online 和 Sharepoint Online)时更容易、更直观。