שאלה Windows Active Directory מתן שמות לשיטות עבודה מומלצות?


זה קנוניקל שאלה על שמות תחום של Active Directory.

לאחר ניסויים עם דומיינים של Windows בקרי תחום בסביבה וירטואלית, הבנתי שיש תחום ספרייה פעיל בשם זהה לתחום DNS הוא רעיון רע (כלומר, שיש example.com כמו שם Active Directory לא טוב כאשר יש לנו את example.com שם תחום רשום לשימוש באתר האינטרנט שלנו).

נראה כי שאלה זו תומכת במסקנה זו, אבל אני עדיין לא בטוח לגבי מה כללים אחרים יש סביב שמות שמות Active Directory.

האם יש שיטות עבודה מומלצות על מה שם Active Directory צריך או לא צריך להיות?


80
2017-10-21 13:10






תשובות:


זה היה נושא כיף של דיון על שגיאת שרת. נראה שיש "דעות דתיות" שונות בנושא.

אני מסכים עם המלצת מיקרוסופט: השתמש בתת-דומיין של שם תחום האינטרנט של החברה שכבר רשום.

אז, אם אתה הבעלים foo.com, להשתמש ad.foo.com או כאלה.

הדבר המרושע ביותר, כפי שאני רואה אותו, הוא באמצעות שם תחום אינטרנט רשום, מילה במילה, עבור שם תחום Active Directory. זה גורם לך להיות נאלץ להעתיק באופן ידני רשומות DNS האינטרנט (כמו www) לתוך אזור DNS Active Directory כדי לאפשר שמות "חיצוניים" כדי לפתור. ראיתי דברים מטופשים לחלוטין כמו IIS המותקן על כל DC בארגון המפעיל אתר אינטרנט שעושה ניתוב מחדש, כך שמישהו נכנס foo.com לתוך הדפדפן שלהם ינותב אל www.foo.com על ידי התקנות IIS אלה. טפשות מוחלטת!

באמצעות שם תחום האינטרנט אין לך יתרונות, אבל יוצר "לעשות עבודה" בכל פעם שאתה משנה את כתובות ה- IP שמות חיצוניים המארח מתייחסים. (נסה להשתמש DNS מאוזנת מבחינה גיאוגרפית עבור המארחים החיצוניים ולשלב את זה עם מצב "מפוצל DNS" כזה, גם! זה יהיה כיף ...)

שימוש בתת-דומיין שכזה אינו משפיע על דברים כמו משלוח דואר אלקטרוני של Exchange או סיומות משתמש ראשי (UPN), BTW. (לעתים קרובות אני רואה את שניהם ציטט כתירוצים לשימוש בשם תחום האינטרנט כמו שם תחום AD.)

אני גם רואה את התירוץ "הרבה חברות גדולות לעשות את זה". חברות גדולות יכול לעשות החלטות boneheaded בקלות (אם לא מורסו) מאשר חברות קטנות. אני לא קונה את זה רק בגלל חברה גדולה עושה החלטה גרועה כי איכשהו גורם לזה להיות החלטה טובה.


94
2017-10-21 13:16



אבל אז שם NetBIOS של התחום לא ... טוב, יפה :) corp אינו תיאורי כמו foo. - Anton Gogolev
אתה יכול להקצות את כל שם NetBIOS שאתה רוצה, אם כי. לרבים מלקוחות שלי יש שמות כמו "ad.example.com", אבל שם ה- NetBIOS הוא "EXAMPLE". DCPROMO ינחה אותך לגבי מה שאתה רוצה שם NetBIOS להיות במהלך היצירה של התחום. - Evan Anderson
אם אתה עושה את זה להתבונן בבעיות עם תחומים שיש להם תווים כלליים. כאשר יש לך *. Foo.com, host.internal.foo.com יתאים אותו במצבים מסוימים - JamesRyan
אני לא מודע לכל מוצר שרת הדוא"ל הדורש ממך להשתמש בשם תחום AD כמו סיומת כתובת הדוא"ל של המשתמשים. Exchange יש לעולם לא נדרש כל סוג של קורלציה בין שם תחום AD ו סיומות כתובת דוא"ל. - Evan Anderson
Office365 דורש רק שהמשתמשים שלך יכנסו ל- UPN שלהם עם סיומת המתאימה לתחום השוכר שלך. מכיוון שמדיניות ברירת המחדל של תיבת הדואר של Exchange יכולה להיות כל דבר, כמו סיומת UPN, היא טריוויאלית. יש לנו EXAMPLE.COM כמו שם החברה שלנו (וגם הדייר ב Office365), EXAMPLE.NET (רשום גם) כמו היער, CORP.EXAMPLE.NET כמו תחום החשבון הראשי (עם תת תחומים אזוריים אחרים, למשל EU.EXAMPLE. NET) עם EXAMPLE כשם NetBIOS, כל המשתמשים ביער Exchange Exchange להשתמש ב- NAME@EXAMPLE.COM עבור UPN ובדוא"ל. Office365 הוא בהחלט שמח עם זה. - Ryan Fisher


יש רק שתי תשובות נכונות לשאלה זו.

  1. תחום משנה שאינו בשימוש של דומיין שבו אתה משתמש באופן ציבורי. לדוגמה, אם הנוכחות הציבורית הציבורית שלך היא example.com ייתכן שהשם הפנימי שלך ייקרא בשם ad.example.com או internal.example.com.

  2. תחום ברמה שנייה שלא נעשה בו שימוש כי אתה הבעלים ואינם משתמשים בשום מקום אחר. לדוגמה, אם הנוכחות הציבורית הציבורית שלך היא example.com ייתכן שהשם שלך ייקרא example.net  כל עוד נרשמת example.net ואל תשתמש בו בשום מקום אחר!

אלה הן שתי האפשרויות היחידות שלך. אם אתה עושה משהו אחר, אתה עוזב את עצמך פתוח הרבה כאב וסבל.


אבל כולם משתמשים.
לא משנה. אתה לא צריך. אני blogged על השימוש .local ו אחרים עשויים להיות TLDs כמו. ו. קורפ. בשום פנים ואופן אסור לך לעשות את זה.

זה לא בטוח יותר. זה לא "שיטות עבודה מומלצות" כמו כמה אנשים טוענים. וזה לא כל ליהנות משתי האפשרויות המוצעות.

אבל אני רוצה לתת לו שם זהה לכתובת האתר של האתר הציבורי שלי, כך שמשתמשים שלי example\user במקום ad\user
זהו חשש תקף, אך מוטעה. כאשר אתה מקדם את DC הראשון בתחום, אתה יכול להגדיר את השם NetBIOS של התחום לכל מה שאתה רוצה שזה יהיה. אם אתה מבין את העצה שלי ולהגדיר את התחום שלך להיות ad.example.com, באפשרותך להגדיר את שם NetBIOS של התחום כך שיהיה example כך שהמשתמשים שלך יתחילו להיכנס כ- example\user.

ב- Active Directory Forests ו- Trusts, באפשרותך ליצור סיומות UPN נוספות גם כן. אין שום דבר המונע ממך ליצור ולהגדיר @ example.com כסיומת UPN הראשית עבור כל החשבונות בתחום שלך. כאשר תשלב זאת עם ההמלצה הקודמת של NetBIOS, אף משתמש קצה לא יראה שמדובר ב- FQDN של הדומיין שלך ad.example.com. כל מה שהם רואים יהיה example\ או @example.com. האנשים היחידים שצריכים לעבוד עם ה- FQDN הם מנהלי מערכות העובדים עם Active Directory.

כמו כן, נניח שאתה משתמש במרחב שמות DNS מפוצל-אופק, כלומר, שם המודעה שלך זהה לאותו אתר הפונה לציבור שלך. עכשיו, המשתמשים שלך לא יכולים להגיע example.com באופן פנימי, אלא אם כן יש לך קידומת www. בדפדפן שלהם או שאתה מפעיל את IIS בכל בקרי התחום שלך (זה רע). גם אתה צריך לאצור שתיים אזורי DNS שאינם זהים שמשתפים מרחב שמות מנותק. זה באמת יותר טרחה מאשר זה שווה. עכשיו דמיינו שיש לכם שותפות עם חברה אחרת ויש להם גם תצורת DNS מפוצלת אופקית עם AD שלהם ונוכחותם החיצונית. יש לך קישור סיבים פרטית בין שני ואתה צריך ליצור אמון. עכשיו, כל התנועה שלך לכל האתרים הציבוריים שלהם צריך לחצות את הקישור הפרטי במקום פשוט יוצא דרך האינטרנט. זה גם יוצר כל מיני כאבי ראש עבור מנהלי רשת משני הצדדים. הימנע זה. תבטח בי.

אבל אבל אבל ...
ברצינות, אין שום סיבה שלא להשתמש באחד משני הדברים שהצעתי. לכל דרך אחרת יש מלכודות. אני לא אומר לך למהר לשנות את שם התחום שלך אם הוא מתפקד במקום, אבל אם אתה יוצר מודעה חדשה, לעשות אחד משני הדברים שהמלצתי לעיל.


87
2018-01-29 16:18



נקודה קטנה - ניתן להשתמש במשהו הרבה יותר קטן, מהיר ומאובטח יותר מ- IIS כדי לשרת את ההפניה מחדש. אפילו haproxy או nginx הם כנראה overkill - שלא לדבר על שרת מלא התכונות כמו apache2. - OrangeDog
זה נכון, אבל את כל של זה מרושלת ומיותרת. - MDMarra
כן, זה היה כל כך כואב כאשר מישהו רשום פתאום את התחום local.net וכל המדפסות שקיבלו בשקט NXDOMAIN לפני תאריך זה פתאום לא ענה יותר. זה היה איזה חקירה מצחיקה ... - Johannes
אני יכול רק לציין את זה. מקומי הוא לא "מורכב" זה בעצם שמורות; פשוט לא עבור סוג זה של שימוש: en.wikipedia.org/wiki/.local - mikebabcock
אז זה נכתב, זה לא היה שמורות. - MDMarra


כדי לסייע לתשובתה של MDMarra:

אתה צריך לעולם אל תשתמש בשם DNS של תווית יחידה עבור שם התחום שלך. זה היה / זמין לפני Windows 2008 R2. סיבות / הסברים ניתן למצוא כאן: פריסה והפעלה של דומיינים של Active Directory המוגדרים באמצעות שמות DNS של תווית יחידה תמיכה של Microsoft

אל תשכח לא להשתמש במילים שמורות (טבלה נכללת בקישור "שמות הנתינה" בתחתית רשומה זו), כגון SYSTEM או WORLD או RESTRICTED.

אני גם מסכים עם מיקרוסופט כי אתה צריך לעקוב אחר שני כללים נוספים (שאינם נקבעים אבן, אבל עדיין):

  1. אתה לא צריך שם התחום שלך מבוסס על משהו שישנה או להיות מיושן. דוגמאות כוללות מתן שמות לדומיין שלך לאחר קו מוצרים, מערכת הפעלה או כל דבר אחר שעלול להשתנות עם הזמן. מקל עם משהו או גיאוגרפי או בטון מספיק כדי הגיוני 5 או אפילו 10 שנים בהמשך הדרך.
  2. מקל עם שמות קצרים של 15 תווים או פחות, זה יאפשר שם NetBIOS להיות בקלות כמו שם התחום.

לבסוף, אני ממליץ לך לחשוב לטווח ארוך ככל האפשר. חברות עוברות מיזוגים ורכישות, אפילו חברות קטנות. גם לחשוב במונחים של קבלת עזרה מבחוץ / התייעצות. השתמש שמות דומיין, מבנה AD, וכו 'זה יהיה מסביר ליועצים או אנשים כאן על SF ללא מאמץ רב.

קישורי ידע:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

דף המלצה הנוכחי של Microsoft (W2k12) עבור שם תחום היער השורש


33
2018-01-29 16:35





אני לא מסכים עם שימוש:

  • example.com - מסיבות שכבר ציינו בתשובות אחרות

אני יכול לקבל באמצעות:

  • ad.example.com - - מסיבות שכבר ציינו בתשובות אחרות

אבל אני לא הייתי עושה את זה בעצמי או ממליץ על זה. במהלך ההשתלטות של החברה, מיתוג מחדש את כל הפסקות הגיהינום, במיוחד כאשר ההנהלה בשלב זה רוצה לשנות דברים מיד. שינוי שם הגירה, השינויים הם מאוד קשים או יקרים.

הדרך הטובה ביותר שאני ממליץ היא לקנות תחום זה לא רלוונטי שם החברה וגם לא רלוונטי למותג של החברה. SIMPLE.CLOUD או דומה צריך לעשות בסדר גמור כל עוד אתה יכול לבד. 

ראיתי חברות גדולות עם 150k משתמשים באמצעות AD זה עדיין מתייחס החברה הישנה הם קנו לפני שנים, או חברות ששינו שמות ואף על פי שזה לא משנה בטווח הארוך כי אתה משתמש \ כניסה (אם אתה לא יכול להשתמש UPN) זה עדיין נראה רע מול הנהלת מי לא מבין למה זה לא טריוויאלי לשנות את זה.


1
2017-10-27 15:33





אני תמיד עושה mydomain.local.

local אינו TLD חוקי, ולכן הוא אף פעם לא מתחרה עם ערך DNS ציבורי בפועל.

לדוגמה, אני אוהב להיות מסוגל לדעת את זה web1.mydomain.local יפתור את ה- IP הפנימי של שרת אינטרנט, בעוד web1.mydomain.com תפתור את ה- IP החיצוני.


-14
2017-09-23 20:03



FWIW, .local שאילתות פטיש על שורש L- שרת ~ 800 / sec כאשר הסתכלתי. - jscott
dot.Local, נקודה AKA.Fail - PnP
שימוש ב- TLD לא חוקי (או תחום לא רשום) אינו נוהג מצוין, זהו תרגול הגרוע ביותר, מכל הסיבות שהוזכרו לעיל. אני מודה שהשתמשתי. אבל זה היה לפני שידעתי. - Jonathan J