Выбор локального или общедоступного доменного имени для Active Directory
Каковы плюсы и минусы выбора локального доменного имени, такого как mycompany.local, по сравнению с публично зарегистрированным доменным именем, таким как mycompany.com (при условии, что ваша организация зарегистрировала публичное имя)? Когда бы вы выбрали один над другим?
ОБНОВИТЬ
Спасибо Zoredache и Jay за то, что они указали мне на этот вопрос, у которого были самые полезные ответы. Это также привело меня к поиску этой статьи Microsoft Technet, в которой говорится:
Лучше всего использовать DNS-имена, зарегистрированные с полномочиями Интернета в пространстве имен Active Directory. Только зарегистрированные имена гарантированно будут глобально уникальными. Если другая организация позднее регистрирует то же доменное имя DNS, или если ваша организация объединяется, приобретает или приобретается другой компанией, которая использует те же имена DNS, эти две инфраструктуры не могут взаимодействовать друг с другом.
Заметка
Использование имен отдельных меток или незарегистрированных суффиксов, таких как.local, не рекомендуется.
Сочетая это с советом Мрденни, я думаю, что правильный подход - это использовать либо:
- Зарегистрированное доменное имя, которое никогда не будет использоваться публично (например, mycompany.org, mycompany.info и т. Д.).
- Субдомен существующего публичного доменного имени, которое никогда не будет использоваться публично (например, corp.mycompany.com).
Часть, которая никогда не использовалась публично, является деловым решением, поэтому, вероятно, лучше получить одобрение от тех сотрудников компании, которым разрешено резервировать доменные имена и субдомены. Например, вы не хотите использовать зарегистрированное имя или поддомен, которые позже отдел маркетинга хочет использовать для какой-либо публичной маркетинговой кампании.
6 ответов
Ниже приведена выдержка из моего ответа на похожий вопрос: домен верхнего уровня / суффикс домена для частной сети?,
Microsoft рекомендовала либо
выделенное зарегистрированное доменное имя, которое недоступно в Интернете
субдомен вашего публичного доменного имени для использования в качестве имени корневого домена леса Active Directory
с тех пор, как они выпустили Active Directory в Windows 2000 Server. Для меня главное преимущество использования субдомена имени вашего публичного домена - это согласованность пространства имен, в результате чего вы, другие администраторы и пользователи должны помнить об этом меньше.
Используйте поддомен зарегистрированного домена вашей компании для внутренних машин, имена которых вы не хотите, чтобы в Интернете. (Тогда, конечно, размещайте эти имена только на своих внутренних DNS-серверах.) Вот несколько примеров для вымышленной Корпорации примеров.
Интернет-серверы:
www.example.com
mail.example.com
dns1.example.com
Внутренние машины:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com
Я использовал "corp", чтобы показать, что этот поддомен описывает машины во внутренней корпоративной сети, но вы можете использовать здесь все, что захотите, например "внутренний": client1.internal.example.com.
Использование одного домена усложнит задачу.
К сожалению, использование.local также может вызвать проблемы. В частности.local используется для Bonjour/ Zeroconf. Если вы используете.local tld, вам нужно будет отрегулировать настройки на любом компьютере OSX или хосте Linux, на котором работает avahi.
В несколько связанном вопросе " Домен верхнего уровня для частных сетей". Существует множество советов о том, что не следует использовать, но на самом деле нет единого мнения о том, какой TLD следует использовать для частных сетей.
Если я не ошибаюсь, и, пожалуйста, поправьте меня, если я ошибаюсь, но я не верю, что что-то от IETF, IANA или любого другого органа по стандартизации разрешает использование.local для чего-либо.
Вы не должны когда-либо использовать публичное доменное имя для своего имени AD.
Первая проблема, которую вы найдете, это доступ к вашему общедоступному веб-сайту. Название вашего публичного сайта совпадает с именем вашего внутреннего сайта. Поэтому, когда вы делаете
nslookupзаmycompany.comвы получаете обратно IP-адреса вашего внутреннего сервера AD, а не общедоступные IP-адреса для сайтов компании. Если вы настроите FTP-имя для своего публичного сайта, вы не сможете найти это имя.Обходной путь для этого - поместить публичные имена и IP-адреса во внутренний DNS, чтобы вы могли подключиться к ним изнутри брандмауэра, но это означает, что вам теперь нужно управлять двумя фермами DNS, когда что-либо на публичной стороне изменяется.
Другая причина держать их отдельно - злоумышленник не знает ваше внутреннее доменное имя. Незнание доменного имени - это еще один кусочек головоломки, который злоумышленнику нужно будет разгадать.
Упомянутая выше статья в TechNet старше этой;
Здесь Microsoft постоянно предлагает использовать личное пространство имен для доменного имени Active Directory. Вы также найдете маркированные сведения о недостатках и проблемах использования публично зарегистрированного доменного имени.
Если вы не хотите использовать свое внешнее пространство имен, любая из ваших мыслей (например, corp.mycompany.com или mycompany.net) работает хорошо и является обычной практикой. Я обычно предпочитаю опцию.net, а не поддомен лично, но я делал это много раз.
Еще в 2000 году был подготовлен интернет-проект IETF под названием " Домен верхнего уровня DNS для частных сетей", который рекомендовал использовать .pri:
Зарезервированное доменное имя верхнего уровня, ".pri", позволит безопасно выбирать частное доменное имя без риска конфликта с текущими или будущими зарегистрированными доменными именами.
Частный DNS-сервер настроен как уполномоченный для домена.pri и делегирует частные субдомены соответствующим образом.
Не уверен, что случилось с этим, но это была отличная идея.
(Обновление: IETF Tracker говорит: черновик никогда не шел дальше.)