Ini telah menjadi topik diskusi yang menyenangkan tentang Kesalahan Server. Tampaknya ada berbagai "pandangan keagamaan" tentang topik ini.
Saya setuju dengan rekomendasi Microsoft : Gunakan sub-domain dari nama domain Internet perusahaan yang sudah terdaftar.
Jadi, jika Anda memiliki foo.com
, gunakan ad.foo.com
atau semacamnya.
Hal yang paling keji, seperti yang saya lihat, adalah menggunakan nama domain Internet terdaftar, kata demi kata, untuk nama domain Active Directory. Ini menyebabkan Anda dipaksa untuk menyalin catatan secara manual dari DNS Internet (seperti www
) ke zona DNS Direktori Aktif untuk mengizinkan nama "eksternal" untuk dipecahkan. Saya telah melihat hal-hal yang benar-benar konyol seperti IIS yang dipasang pada setiap DC di organisasi yang menjalankan situs web yang melakukan pengalihan sehingga seseorang yang masuk foo.com
ke browser mereka akan dialihkan ke www.foo.com
oleh instalasi IIS ini. Benar-benar konyol!
Menggunakan nama domain Internet tidak menguntungkan Anda, tetapi menciptakan "bekerja" setiap kali Anda mengubah alamat IP yang merujuk pada nama host eksternal. (Coba gunakan secara geografis DNS yang seimbang untuk host eksternal dan integrasikan dengan situasi "DNS terpisah" juga! Wah - itu akan menyenangkan ...)
Menggunakan subdomain seperti itu tidak berpengaruh pada hal-hal seperti pengiriman email Exchange atau sufiks Nama Pokok Pengguna (UPN), BTW. (Saya sering melihat keduanya dikutip sebagai alasan untuk menggunakan nama domain Internet sebagai nama domain AD.)
Saya juga melihat alasan "banyak perusahaan besar melakukannya". Perusahaan besar dapat membuat keputusan dengan mudah (jika bukan lebih) daripada perusahaan kecil. Saya tidak membeli itu hanya karena perusahaan besar membuat keputusan buruk yang entah bagaimana menyebabkannya menjadi keputusan yang baik.
corp
tidak deskriptiffoo
.Hanya ada dua jawaban yang benar untuk pertanyaan ini.
Sub-domain yang tidak digunakan dari domain yang Anda gunakan untuk umum. Misalnya, jika keberadaan web publik
example.com
Anda adalah AD internal Anda mungkin dinamai sesuatu sepertiad.example.com
atauinternal.example.com
.Domain tingkat kedua yang tidak digunakan yang Anda miliki dan tidak gunakan di tempat lain. Misalnya, jika keberadaan web publik Anda adalah
example.com
AD Anda mungkin dinamaiexample.net
selama Anda telah terdaftarexample.net
dan tidak menggunakannya di tempat lain!Ini hanya dua pilihan Anda. Jika Anda melakukan sesuatu yang lain, Anda membiarkan diri Anda terbuka terhadap banyak rasa sakit dan penderitaan.
Tapi semua orang menggunakan .local!
Tidak masalah. Anda seharusnya tidak. Saya telah membuat blog tentang penggunaan .local dan TLD lain yang dibuat seperti .lan dan .corp . Dalam situasi apa pun Anda tidak boleh melakukan ini.
Itu tidak lebih aman. Ini bukan "praktik terbaik" seperti yang diklaim sebagian orang. Dan itu tidak memiliki manfaat apa pun atas dua pilihan yang saya usulkan.
Tapi saya ingin menamainya sama dengan URL situs web publik saya sehingga pengguna saya
example\user
bukannyaad\user
Ini adalah masalah yang valid, tetapi salah arah. Saat Anda mempromosikan DC pertama dalam suatu domain, Anda dapat mengatur nama domain NetBIOS menjadi apa pun yang Anda inginkan. Jika Anda mengikuti saran saya dan mengatur domain Anda menjadi
ad.example.com
, Anda dapat mengkonfigurasi nama NetBIOS domainexample
agar pengguna Anda akan login sebagaiexample\user
.Di Hutan Direktori dan Trust Active, Anda juga bisa membuat akhiran UPN tambahan. Tidak ada yang menghentikan Anda dari membuat dan menetapkan @ example.com sebagai akhiran UPN utama untuk semua akun di domain Anda. Ketika Anda menggabungkan ini dengan rekomendasi NetBIOS sebelumnya, tidak ada pengguna akhir yang akan melihat bahwa FQDN domain Anda
ad.example.com
. Segala sesuatu yang mereka lihat akanexample\
atau@example.com
. Satu-satunya orang yang perlu bekerja dengan FQDN adalah admin sistem yang bekerja dengan Active Directory.Juga, asumsikan bahwa Anda menggunakan namespace DNS split-horizon, yang berarti bahwa nama AD Anda sama dengan situs web yang menghadap publik. Sekarang, pengguna Anda tidak dapat membuka
example.com
internal kecuali Anda memiliki mereka awalanwww.
di browser mereka atau Anda menjalankan IIS pada semua pengontrol domain Anda (ini buruk). Anda juga harus memilih duazona DNS tidak identik yang berbagi namespace terpisah. Ini benar-benar lebih merepotkan daripada nilainya. Sekarang bayangkan Anda memiliki kemitraan dengan perusahaan lain dan mereka juga memiliki konfigurasi DNS split-horizon dengan AD dan keberadaan eksternal mereka. Anda memiliki tautan serat pribadi antara keduanya dan Anda perlu membuat kepercayaan. Sekarang, semua lalu lintas Anda ke situs publik mereka harus melewati tautan pribadi alih-alih keluar melalui Internet. Ini juga menciptakan semua jenis sakit kepala untuk admin jaringan di kedua sisi. Hindari ini. Percayalah kepadaku.Tapi tapi tapi ...
Serius, tidak ada alasan untuk tidak menggunakan salah satu dari dua hal yang saya sarankan. Cara lain memiliki jebakan. Saya tidak mengatakan kepada Anda untuk segera mengubah nama domain Anda jika berfungsi dan di tempat, tetapi jika Anda membuat AD baru, lakukan salah satu dari dua hal yang saya rekomendasikan di atas.
sumber
Untuk membantu jawaban MDMarra:
Anda juga harus TIDAK PERNAH menggunakan nama DNS satu label untuk nama domain Anda. Ini / tersedia sebelum Windows 2008 R2. Alasan / penjelasan dapat ditemukan di sini: Penyebaran dan pengoperasian domain Direktori Aktif yang dikonfigurasikan dengan menggunakan nama DNS satu label | Dukungan Microsoft
Jangan lupa untuk TIDAK menggunakan kata-kata yang dipesan (tabel disertakan dalam tautan "Konvensi Penamaan" di bagian bawah posting ini), seperti SISTEM atau DUNIA atau DIBATASI.
Saya juga setuju dengan Microsoft bahwa Anda harus mengikuti dua aturan tambahan (yang tidak dibuat-buat, tapi tetap saja):
Akhirnya, saya sarankan Anda berpikir jangka panjang sebanyak mungkin. Perusahaan memang melalui merger dan akuisisi, bahkan perusahaan kecil. Juga pikirkan dalam hal mendapatkan bantuan / konsultasi luar. Gunakan nama domain, struktur AD, dll. Yang akan dijelaskan kepada konsultan atau orang-orang di SF tanpa banyak usaha.
Tautan pengetahuan:
http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx
http://support.microsoft.com/kb/909264
http://support.microsoft.com/kb/300684/en-us
Halaman rekomendasi Microsoft saat ini (W2k12) untuk nama domain root forest
sumber
Saya tidak setuju menggunakan:
Saya dapat menerima menggunakan:
Tetapi saya tidak akan melakukannya sendiri atau merekomendasikannya. Selama pengambilalihan perusahaan, rebranding semua terjadi, terutama ketika manajemen pada saat itu ingin semuanya berubah segera. Mengganti nama migrasi, perubahannya sangat sulit atau mahal.
Cara terbaik yang saya sarankan adalah membeli domain yang tidak relevan dengan nama perusahaan dan juga tidak relevan dengan merek perusahaan. SEDERHANA. CLOUD atau serupa harus baik-baik saja selama Anda bisa memilikinya.
Saya telah melihat perusahaan besar dengan 150k pengguna menggunakan AD yang masih mereferensikan perusahaan lama yang mereka beli bertahun-tahun yang lalu, atau perusahaan yang mengubah nama dan meskipun dalam jangka panjang Anda tidak menggunakan \ login (jika Anda tidak bisa gunakan UPN) itu masih terlihat buruk di depan manajemen yang tidak mengerti mengapa tidak sepele untuk mengubahnya.
sumber
Saya selalu melakukannya
mydomain.local
.local
bukan TLD yang valid, sehingga tidak pernah bersaing dengan entri DNS publik yang sebenarnya.Sebagai contoh, saya suka mengetahui bahwa
web1.mydomain.local
akan menyelesaikan ke IP internal dari server web, sementaraweb1.mydomain.com
akan menyelesaikan ke IP eksternal.sumber
.local
permintaan palu pada root L-server - ~ 800 / detik ketika saya melihat.