Mudah-mudahan , kita semua tahu apa rekomendasi untuk penamaan hutan Direktori Aktif , dan itu sangat sederhana. Yakni, dapat diringkas dalam satu kalimat.
Gunakan subdomain dari nama domain terdaftar yang ada, dan pilih satu yang tidak akan digunakan secara eksternal. Misalnya, jika saya harus memasukkan dan mendaftarkan hopelessn00b.com
domain, hutan AD internal saya harus dinamai internal.hopelessn00b.com
atau ad.hopelessn00b.com
atau corp.hopelessn00b.com
.
Ada alasan yang sangat mendesak untuk menghindari menggunakan tlds "palsu" atau nama domain berlabel tunggal , tapi saya mengalami kesulitan menemukan alasan yang memaksa untuk menghindari menggunakan root domain ( hopelessn00b.com
) sebagai nama domain saya dan menggunakan subdomain seperti sebagai corp.hopelessn00b.com
gantinya . Sungguh, satu-satunya pembenaran yang dapat saya temukan adalah bahwa mengakses situs web eksternal dari internal memerlukan A name
catatan DNS dan mengetik www.
di depan nama situs web di browser, yang cukup "meh" sejauh masalah berjalan.
Jadi, apa yang saya lewatkan? Mengapa jauh lebih baik menggunakan ad.hopelessn00b.com
nama hutan Direktori Aktif saya hopelessn00b.com
?
Sebagai catatan, itu benar-benar majikan saya yang perlu diyakinkan - bos pria itu menjajakan kembali, dan setelah memberi saya jalan ke depan untuk membuat hutan AD baru bernama corp.hopelessn00b'semployer.com
untuk jaringan internal kami, ia ingin tetap dengan hutan AD bernama hopelessn00b'semployer.com
( sama dengan domain kami yang terdaftar secara eksternal). Saya berharap bahwa saya bisa mendapatkan beberapa alasan kuat atau alasan bahwa praktik terbaik adalah pilihan yang lebih baik, jadi saya dapat meyakinkan dia tentang itu ... karena tampaknya lebih mudah daripada amarah berhenti dan / atau menemukan pekerjaan baru, setidaknya untuk saat ini. Sekarang, "Microsoft praktik terbaik" dan internal mengakses situs publik untuk perusahaan kami tampaknya tidak akan memotong itu, dan aku benar-benar , benar-benar , benar-benar berharap seseorang di sini telah sesuatu yang lebih meyakinkan.
sumber
www
.Jawaban:
Begitu banyak perwakilan yang bisa didapat. Datanglah padaku yang berharga.
Ok, jadi cukup baik didokumentasikan oleh Microsoft bahwa Anda tidak boleh menggunakan split-horizon, atau TLD dibuat karena Anda telah ditautkan berkali-kali (berteriak ke blog saya!). Ada beberapa alasan untuk ini.
The
www
masalah bahwa Anda telah dikemukakan di atas. Mengganggu, tapi bukan pemecah kesepakatan.Ini memaksa Anda untuk memelihara catatan duplikat untuk semua server yang menghadap publik yang juga dapat diakses secara internal, bukan hanya
www
.mail.hopelessnoob.com
adalah contoh umum. Dalam skenario yang ideal, Anda akan memiliki jaringan perimeter terpisah untuk hal-hal sepertimail.hopelessnoob.com
ataupublicwebservice.hopelessnoob.com
. Dengan beberapa konfigurasi, seperti ASA dengan antarmuka Internal dan Eksternal , Anda baik kebutuhan dalam-dalam NAT atau split-horizon DNS pula tapi untuk organisasi yang lebih besar dengan jaringan perimeter yang sah di mana sumber web menghadap Anda tidak berada di belakang batas NAT jepit rambut - ini menyebabkan pekerjaan yang tidak perlu.Bayangkan skenario ini - Anda secara
hopelessnoob.com
internal dan eksternal. Anda memiliki perusahaan yang bermitra dengan Andaexample.com
dan mereka melakukan hal yang sama - membagi cakrawala secara internal dengan AD mereka dan dengan namespace DNS yang dapat diakses publik. Sekarang, Anda mengonfigurasi VPN situs-ke-situs dan ingin otentikasi internal agar trust melintasi terowongan sementara memiliki akses ke sumber daya publik eksternal mereka untuk keluar melalui Internet. Ini hampir tidak mungkin tanpa perutean kebijakan yang sangat rumit atau menahan salinan zona DNS internal Anda sendiri - sekarang Anda baru saja membuat satu set catatan DNS tambahan untuk dipelihara. Jadi, Anda harus berurusan dengan penjepit rambut di akhir danakhir mereka, perutean kebijakan / NAT, dan semua jenis tipu daya lainnya. (Saya sebenarnya dalam situasi ini dengan AD yang saya warisi).Jika Anda pernah menggunakan DirectAccess , itu secara drastis menyederhanakan kebijakan resolusi nama Anda - ini juga berlaku untuk teknologi VPN terowongan terpisah.
Beberapa dari ini adalah kasus tepi, beberapa tidak, tetapi mereka semua mudah dihindari. Jika Anda memiliki kemampuan untuk melakukan ini sejak awal, sebaiknya lakukan dengan cara yang benar sehingga Anda tidak mengalami salah satu dari ini dalam satu dekade.
sumber
Pernyataan ini: "Sungguh, satu-satunya pembenaran yang dapat saya temukan adalah bahwa mengakses situs web eksternal dari internal memerlukan catatan DNS SRV dan mengetik www. Di depan nama situs web di browser" tidak benar.
Ini berarti Anda perlu menyimpan salinan semua catatan publik Anda di server DNS AD Anda, yang dapat menyebabkan masalah, terutama jika Anda tidak melakukannya dengan benar - lewatkan beberapa, dll. Jika seseorang ingin mengunjungi ftp.company. com tetapi Anda lupa membuat alias di DNS internal (atau tidak mengotomatiskannya dengan benar), orang-orang di-rumah tidak bisa mengenai situs FTP publik sama sekali.
Ini cukup baik disempurnakan dalam pertanyaan yang Anda tautkan ke: Windows Active Directory penamaan praktik terbaik?
Jika mempertahankan beberapa salinan zona DNS Anda adalah masalah mudah bagi Anda untuk menyelesaikannya dengan benar, selamanya, maka saya kira Anda dapat melakukan apa yang Anda inginkan. Sampai MS mengubah sesuatu yang merusaknya. Anda bisa saja mengikuti rekomendasi mereka.
sumber
Saya tidak cukup peduli dengan perwakilan untuk membuat jawaban panjang hari ini ... jadi saya akan tetap singkat.
Dulu saya baik-baik saja dengan split-dns dan menerapkannya beberapa kali sampai Evan dan Mark meyakinkan saya sebaliknya. Jujur saja BUKAN itu tidak bisa dilakukan ... itu bisa, dan beberapa mungkin baik-baik saja dengan itu (meskipun overhead dan pekerjaan dilakukan untuk itu).
2 hal spesifik muncul tahun lalu bagi saya yang dipadatkan TIDAK menggunakannya:
www
tidak akan memunculkan situs web yang sebenarnya, karena catatan domain sesuai dengan domain AD dan bukan hal yang mudah untuk mencapaiwww
dan TIDAK BISA secara internal.Semoga itu bisa membantu.
sumber