Memberi nama hutan Direktori Aktif baru - mengapa DNS split-horizon tidak disarankan?

23

Mudah-mudahan , kita semua tahu apa rekomendasi untuk penamaan hutan Direktori Aktif , dan itu sangat sederhana. Yakni, dapat diringkas dalam satu kalimat.

Gunakan subdomain dari nama domain terdaftar yang ada, dan pilih satu yang tidak akan digunakan secara eksternal. Misalnya, jika saya harus memasukkan dan mendaftarkan hopelessn00b.comdomain, hutan AD internal saya harus dinamai internal.hopelessn00b.comatau ad.hopelessn00b.comatau corp.hopelessn00b.com.

Ada alasan yang sangat mendesak untuk menghindari menggunakan tlds "palsu" atau nama domain berlabel tunggal , tapi saya mengalami kesulitan menemukan alasan yang memaksa untuk menghindari menggunakan root domain ( hopelessn00b.com) sebagai nama domain saya dan menggunakan subdomain seperti sebagai corp.hopelessn00b.comgantinya . Sungguh, satu-satunya pembenaran yang dapat saya temukan adalah bahwa mengakses situs web eksternal dari internal memerlukan A namecatatan DNS dan mengetik www.di depan nama situs web di browser, yang cukup "meh" sejauh masalah berjalan.

Jadi, apa yang saya lewatkan? Mengapa jauh lebih baik menggunakan ad.hopelessn00b.comnama hutan Direktori Aktif saya hopelessn00b.com?

Sebagai catatan, itu benar-benar majikan saya yang perlu diyakinkan - bos pria itu menjajakan kembali, dan setelah memberi saya jalan ke depan untuk membuat hutan AD baru bernama corp.hopelessn00b'semployer.comuntuk jaringan internal kami, ia ingin tetap dengan hutan AD bernama hopelessn00b'semployer.com( sama dengan domain kami yang terdaftar secara eksternal). Saya berharap bahwa saya bisa mendapatkan beberapa alasan kuat atau alasan bahwa praktik terbaik adalah pilihan yang lebih baik, jadi saya dapat meyakinkan dia tentang itu ... karena tampaknya lebih mudah daripada amarah berhenti dan / atau menemukan pekerjaan baru, setidaknya untuk saat ini. Sekarang, "Microsoft praktik terbaik" dan internal mengakses situs publik untuk perusahaan kami tampaknya tidak akan memotong itu, dan aku benar-benar , benar-benar , benar-benar berharap seseorang di sini telah sesuatu yang lebih meyakinkan.

HopelessN00b
sumber
1
Koreksi kecil - itu akan membutuhkan catatan A internal, bukan catatan SRV untuk www.
MDMarra
@ HopelessN00b - Mark adalah tepat w / semua yang saya katakan dan banyak lagi. Skenario "rekan" -nya sedang populer. Saya belum memiliki "kesenangan" untuk menjalankan skenario w / split-horizon DNS. Saya hanya akan menyebutkan itu membuat resolusi nama dalam penghisap VPN, tapi saya tidak berpikir tentang DirectAccess pada khususnya.) Jika saya harus memikirkan apa pun saya akan membuangnya. Saya hanya ngeri pada pekerjaan dan potensi kesalahan yang dibuatnya. Itu saja adalah alasan yang cukup untuk membenarkan tidak melakukannya. Yang terpenting, saya masih marah dengan orang-orang yang mengatakan "perusahaan besar melakukannya sehingga tidak apa-apa" sebagai alasan.
Evan Anderson

Jawaban:

24

Begitu banyak perwakilan yang bisa didapat. Datanglah padaku yang berharga.

Ok, jadi cukup baik didokumentasikan oleh Microsoft bahwa Anda tidak boleh menggunakan split-horizon, atau TLD dibuat karena Anda telah ditautkan berkali-kali (berteriak ke blog saya!). Ada beberapa alasan untuk ini.

  1. The wwwmasalah bahwa Anda telah dikemukakan di atas. Mengganggu, tapi bukan pemecah kesepakatan.

  2. Ini memaksa Anda untuk memelihara catatan duplikat untuk semua server yang menghadap publik yang juga dapat diakses secara internal, bukan hanya www. mail.hopelessnoob.comadalah contoh umum. Dalam skenario yang ideal, Anda akan memiliki jaringan perimeter terpisah untuk hal-hal seperti mail.hopelessnoob.comatau publicwebservice.hopelessnoob.com. Dengan beberapa konfigurasi, seperti ASA dengan antarmuka Internal dan Eksternal , Anda baik kebutuhan dalam-dalam NAT atau split-horizon DNS pula tapi untuk organisasi yang lebih besar dengan jaringan perimeter yang sah di mana sumber web menghadap Anda tidak berada di belakang batas NAT jepit rambut - ini menyebabkan pekerjaan yang tidak perlu.

  3. Bayangkan skenario ini - Anda secara hopelessnoob.cominternal dan eksternal. Anda memiliki perusahaan yang bermitra dengan Anda example.comdan mereka melakukan hal yang sama - membagi cakrawala secara internal dengan AD mereka dan dengan namespace DNS yang dapat diakses publik. Sekarang, Anda mengonfigurasi VPN situs-ke-situs dan ingin otentikasi internal agar trust melintasi terowongan sementara memiliki akses ke sumber daya publik eksternal mereka untuk keluar melalui Internet. Ini hampir tidak mungkin tanpa perutean kebijakan yang sangat rumit atau menahan salinan zona DNS internal Anda sendiri - sekarang Anda baru saja membuat satu set catatan DNS tambahan untuk dipelihara. Jadi, Anda harus berurusan dengan penjepit rambut di akhir danakhir mereka, perutean kebijakan / NAT, dan semua jenis tipu daya lainnya. (Saya sebenarnya dalam situasi ini dengan AD yang saya warisi).

  4. Jika Anda pernah menggunakan DirectAccess , itu secara drastis menyederhanakan kebijakan resolusi nama Anda - ini juga berlaku untuk teknologi VPN terowongan terpisah.

Beberapa dari ini adalah kasus tepi, beberapa tidak, tetapi mereka semua mudah dihindari. Jika Anda memiliki kemampuan untuk melakukan ini sejak awal, sebaiknya lakukan dengan cara yang benar sehingga Anda tidak mengalami salah satu dari ini dalam satu dekade.

MDMarra
sumber
1
Kekaguman. Saya pikir 3 dan 4 mungkin menyegel kesepakatan ... tapi saya akan membiarkannya terbuka untuk melihat apakah ada yang punya yang lain. Dan semoga mendorong lebih berhargassssses jalan Anda. Dua suara positif untuk jawaban itu cukup lemah ... Membutuhkan moar upvotes!
HopelessN00b
2
+1 - Saya menyukainya. Terus berjuang.
Evan Anderson
8

Pernyataan ini: "Sungguh, satu-satunya pembenaran yang dapat saya temukan adalah bahwa mengakses situs web eksternal dari internal memerlukan catatan DNS SRV dan mengetik www. Di depan nama situs web di browser" tidak benar.

Ini berarti Anda perlu menyimpan salinan semua catatan publik Anda di server DNS AD Anda, yang dapat menyebabkan masalah, terutama jika Anda tidak melakukannya dengan benar - lewatkan beberapa, dll. Jika seseorang ingin mengunjungi ftp.company. com tetapi Anda lupa membuat alias di DNS internal (atau tidak mengotomatiskannya dengan benar), orang-orang di-rumah tidak bisa mengenai situs FTP publik sama sekali.

Ini cukup baik disempurnakan dalam pertanyaan yang Anda tautkan ke: Windows Active Directory penamaan praktik terbaik?

Jika mempertahankan beberapa salinan zona DNS Anda adalah masalah mudah bagi Anda untuk menyelesaikannya dengan benar, selamanya, maka saya kira Anda dapat melakukan apa yang Anda inginkan. Sampai MS mengubah sesuatu yang merusaknya. Anda bisa saja mengikuti rekomendasi mereka.

mfinni
sumber
Poin bagus. Tentu saja, kami tidak memiliki layanan publik seperti itu, dan memasang iklan webhosting kami, jadi ... tidak yakin seberapa penting itu, tetapi saya dapat menambahkannya ke daftar. Terima kasih.
HopelessN00b
1
Seperti yang saya edit - bagaimana identitas internet publik perusahaan Anda digunakan hari ini mungkin tidak secara akurat mencerminkan bagaimana itu akan digunakan dalam 5 tahun.
mfinni
Ya, pembuktian di masa depan ... satu lagi yang bagus. Seandainya saya bisa memberi Anda +1 lagi. :)
HopelessN00b
5

Saya tidak cukup peduli dengan perwakilan untuk membuat jawaban panjang hari ini ... jadi saya akan tetap singkat.

Dulu saya baik-baik saja dengan split-dns dan menerapkannya beberapa kali sampai Evan dan Mark meyakinkan saya sebaliknya. Jujur saja BUKAN itu tidak bisa dilakukan ... itu bisa, dan beberapa mungkin baik-baik saja dengan itu (meskipun overhead dan pekerjaan dilakukan untuk itu).

2 hal spesifik muncul tahun lalu bagi saya yang dipadatkan TIDAK menggunakannya:

  1. Seperti yang Anda tunjukkan dalam pertanyaan Anda, Anda tidak bisa membiarkan pengguna internal masuk ke situs web eksternal Anda hanya dengan nama domain. Jangan tanya mengapa itu masalah besar, tetapi kami memiliki pengguna internal yang akan marah karena mengetikkan nama domain saja di browser tanpa wwwtidak akan memunculkan situs web yang sebenarnya, karena catatan domain sesuai dengan domain AD dan bukan hal yang mudah untuk mencapai wwwdan TIDAK BISA secara internal.
  2. Masalah pertukaran - Exchange AutoDiscover bisa gagal mendapatkan sertifikat dan akan meminta kesalahan. Ini dapat terjadi baik secara internal maupun eksternal. Ini menjadi lebih jelas ketika kami mulai memiliki "Kotak Pesan Hutan Eksternal" di Exchange Org kami dan mereka tidak melihat DNS internal yang sama seperti yang kami miliki.

Semoga itu bisa membantu.

Pembersih
sumber
1
Heh heh ... Akhirnya @MDMarra dan saya akan membuat Anda berpikir seperti kami.
Evan Anderson
2
Perlawanan sia-sia ... AD Anda akan berasimilasi ke dalam sub-domain dari domain utama Anda!
Bangsal - Reinstate Monica
Selain itu, saya telah mengatasi masalah WWW dengan menginstal IIS di semua DC dan membuat halaman pengalihan ASP ke www. Ini sebenarnya bekerja cukup baik, meskipun penggunaan IIS agak sembrono.
cscracker