Windows Active Directory menyebutkan praktik terbaik?

89

Ini adalah Pertanyaan Canonical tentang penamaan domain Direktori Aktif.

Setelah bereksperimen dengan domain Windows dan pengontrol domain di lingkungan virtual, saya menyadari bahwa memiliki domain direktori aktif yang identik dengan domain DNS adalah ide yang buruk (artinya memiliki example.comnama Direktori Aktif tidak baik ketika kita memiliki example.comnama domain terdaftar untuk digunakan sebagai situs web kami).

Pertanyaan terkait ini tampaknya mendukung kesimpulan itu , tetapi saya masih tidak yakin tentang aturan apa yang ada di sekitar penamaan domain Direktori Aktif.

Apakah ada praktik terbaik tentang apa nama direktori aktif seharusnya atau tidak seharusnya?

Anton Gogolev
sumber

Jawaban:

98

Ini telah menjadi topik diskusi yang menyenangkan tentang Kesalahan Server. Tampaknya ada berbagai "pandangan keagamaan" tentang topik ini.

Saya setuju dengan rekomendasi Microsoft : Gunakan sub-domain dari nama domain Internet perusahaan yang sudah terdaftar.

Jadi, jika Anda memiliki foo.com, gunakan ad.foo.comatau semacamnya.

Hal yang paling keji, seperti yang saya lihat, adalah menggunakan nama domain Internet terdaftar, kata demi kata, untuk nama domain Active Directory. Ini menyebabkan Anda dipaksa untuk menyalin catatan secara manual dari DNS Internet (seperti www) ke zona DNS Direktori Aktif untuk mengizinkan nama "eksternal" untuk dipecahkan. Saya telah melihat hal-hal yang benar-benar konyol seperti IIS yang dipasang pada setiap DC di organisasi yang menjalankan situs web yang melakukan pengalihan sehingga seseorang yang masuk foo.comke browser mereka akan dialihkan ke www.foo.comoleh instalasi IIS ini. Benar-benar konyol!

Menggunakan nama domain Internet tidak menguntungkan Anda, tetapi menciptakan "bekerja" setiap kali Anda mengubah alamat IP yang merujuk pada nama host eksternal. (Coba gunakan secara geografis DNS yang seimbang untuk host eksternal dan integrasikan dengan situasi "DNS terpisah" juga! Wah - itu akan menyenangkan ...)

Menggunakan subdomain seperti itu tidak berpengaruh pada hal-hal seperti pengiriman email Exchange atau sufiks Nama Pokok Pengguna (UPN), BTW. (Saya sering melihat keduanya dikutip sebagai alasan untuk menggunakan nama domain Internet sebagai nama domain AD.)

Saya juga melihat alasan "banyak perusahaan besar melakukannya". Perusahaan besar dapat membuat keputusan dengan mudah (jika bukan lebih) daripada perusahaan kecil. Saya tidak membeli itu hanya karena perusahaan besar membuat keputusan buruk yang entah bagaimana menyebabkannya menjadi keputusan yang baik.

Evan Anderson
sumber
2
Tapi kemudian nama domain NetBIOS tidak ... yah, cantik :) corptidak deskriptif foo.
Anton Gogolev
34
Anda dapat menetapkan nama NetBIOS apa pun yang Anda inginkan. Banyak Pelanggan saya memiliki nama seperti "ad.example.com", tetapi nama NetBIOS adalah "CONTOH". DCPROMO akan meminta Anda untuk nama NetBIOS yang Anda inginkan selama pembuatan domain.
Evan Anderson
5
jika Anda melakukan ini hati-hati terhadap masalah dengan domain yang memiliki wildcard. Bila Anda telah * .foo.com, host.internal.foo.com akan cocok dalam beberapa situasi
JamesRyan
2
Saya tidak mengetahui adanya produk server email yang mengharuskan Anda menggunakan nama domain AD sebagai akhiran alamat email pengguna. Pertukaran tidak pernah membutuhkan korelasi apa pun antara nama domain AD dan sufiks alamat email.
Evan Anderson
2
Office365 hanya mengharuskan pengguna Anda masuk dengan UPN mereka dengan akhiran yang cocok dengan domain penyewa Anda. Karena kebijakan alamat kotak surat Exchange default dapat didefinisikan sebagai apa saja, seperti halnya akhiran UPN Anda, maka itu sepele. Kami memiliki EXAMPLE.COM sebagai nama perusahaan kami (dan penyewa di Office365), EXAMPLE.NET (juga terdaftar) sebagai forest, CORP.EXAMPLE.NET sebagai domain akun utama (dengan sub-domain regional lainnya, misalnya EU.EXAMPLE. NET) dengan EXAMPLE sebagai nama NetBIOS, semua pengguna di Exchange hutan org menggunakan [email protected] untuk UPN dan untuk email. Office365 sangat senang dengan ini.
Ryan Fisher
89

Hanya ada dua jawaban yang benar untuk pertanyaan ini.

  1. Sub-domain yang tidak digunakan dari domain yang Anda gunakan untuk umum. Misalnya, jika keberadaan web publik example.comAnda adalah AD internal Anda mungkin dinamai sesuatu seperti ad.example.comatau internal.example.com.

  2. Domain tingkat kedua yang tidak digunakan yang Anda miliki dan tidak gunakan di tempat lain. Misalnya, jika keberadaan web publik Anda adalah example.comAD Anda mungkin dinamai example.net selama Anda telah terdaftar example.netdan tidak menggunakannya di tempat lain!

Ini hanya dua pilihan Anda. Jika Anda melakukan sesuatu yang lain, Anda membiarkan diri Anda terbuka terhadap banyak rasa sakit dan penderitaan.


Tapi semua orang menggunakan .local!
Tidak masalah. Anda seharusnya tidak. Saya telah membuat blog tentang penggunaan .local dan TLD lain yang dibuat seperti .lan dan .corp . Dalam situasi apa pun Anda tidak boleh melakukan ini.

Itu tidak lebih aman. Ini bukan "praktik terbaik" seperti yang diklaim sebagian orang. Dan itu tidak memiliki manfaat apa pun atas dua pilihan yang saya usulkan.

Tapi saya ingin menamainya sama dengan URL situs web publik saya sehingga pengguna saya example\userbukannyaad\user
Ini adalah masalah yang valid, tetapi salah arah. Saat Anda mempromosikan DC pertama dalam suatu domain, Anda dapat mengatur nama domain NetBIOS menjadi apa pun yang Anda inginkan. Jika Anda mengikuti saran saya dan mengatur domain Anda menjadi ad.example.com, Anda dapat mengkonfigurasi nama NetBIOS domain exampleagar pengguna Anda akan login sebagai example\user.

Di Hutan Direktori dan Trust Active, Anda juga bisa membuat akhiran UPN tambahan. Tidak ada yang menghentikan Anda dari membuat dan menetapkan @ example.com sebagai akhiran UPN utama untuk semua akun di domain Anda. Ketika Anda menggabungkan ini dengan rekomendasi NetBIOS sebelumnya, tidak ada pengguna akhir yang akan melihat bahwa FQDN domain Anda ad.example.com. Segala sesuatu yang mereka lihat akan example\atau @example.com. Satu-satunya orang yang perlu bekerja dengan FQDN adalah admin sistem yang bekerja dengan Active Directory.

Juga, asumsikan bahwa Anda menggunakan namespace DNS split-horizon, yang berarti bahwa nama AD Anda sama dengan situs web yang menghadap publik. Sekarang, pengguna Anda tidak dapat membuka example.cominternal kecuali Anda memiliki mereka awalan www.di browser mereka atau Anda menjalankan IIS pada semua pengontrol domain Anda (ini buruk). Anda juga harus memilih duazona DNS tidak identik yang berbagi namespace terpisah. Ini benar-benar lebih merepotkan daripada nilainya. Sekarang bayangkan Anda memiliki kemitraan dengan perusahaan lain dan mereka juga memiliki konfigurasi DNS split-horizon dengan AD dan keberadaan eksternal mereka. Anda memiliki tautan serat pribadi antara keduanya dan Anda perlu membuat kepercayaan. Sekarang, semua lalu lintas Anda ke situs publik mereka harus melewati tautan pribadi alih-alih keluar melalui Internet. Ini juga menciptakan semua jenis sakit kepala untuk admin jaringan di kedua sisi. Hindari ini. Percayalah kepadaku.

Tapi tapi tapi ...
Serius, tidak ada alasan untuk tidak menggunakan salah satu dari dua hal yang saya sarankan. Cara lain memiliki jebakan. Saya tidak mengatakan kepada Anda untuk segera mengubah nama domain Anda jika berfungsi dan di tempat, tetapi jika Anda membuat AD baru, lakukan salah satu dari dua hal yang saya rekomendasikan di atas.

MDMarra
sumber
2
Poin kecil - seseorang dapat menggunakan sesuatu yang jauh lebih kecil, lebih cepat dan aman daripada IIS untuk melayani pengalihan. Bahkan haproxy atau nginx mungkin berlebihan - apalagi server berfitur lengkap seperti apache2.
OrangeDog
9
Ini benar, tetapi semua itu ceroboh dan tidak perlu.
MDMarra
Uuuuw ya, itu sangat menyakitkan ketika seseorang tiba-tiba mendaftarkan domain local.net dan semua printer yang diam-diam mendapat NXDOMAIN sebelum tanggal itu tiba-tiba tidak menjawab lagi. Itu adalah penyelidikan yang lucu ...
Johannes
Bolehkah saya hanya mencatat bahwa .local bukan "dibuat-buat" itu sebenarnya milik; tidak hanya untuk jenis penggunaan ini: en.wikipedia.org/wiki/.local
mikebabcock
Pada saat ini ditulis, itu tidak dicadangkan.
MDMarra
34

Untuk membantu jawaban MDMarra:

Anda juga harus TIDAK PERNAH menggunakan nama DNS satu label untuk nama domain Anda. Ini / tersedia sebelum Windows 2008 R2. Alasan / penjelasan dapat ditemukan di sini: Penyebaran dan pengoperasian domain Direktori Aktif yang dikonfigurasikan dengan menggunakan nama DNS satu label | Dukungan Microsoft

Jangan lupa untuk TIDAK menggunakan kata-kata yang dipesan (tabel disertakan dalam tautan "Konvensi Penamaan" di bagian bawah posting ini), seperti SISTEM atau DUNIA atau DIBATASI.

Saya juga setuju dengan Microsoft bahwa Anda harus mengikuti dua aturan tambahan (yang tidak dibuat-buat, tapi tetap saja):

  1. Anda TIDAK boleh memberi nama domain Anda berdasarkan sesuatu yang akan berubah atau menjadi usang. Contohnya termasuk memberi nama domain Anda setelah lini produk, sistem operasi, atau apa pun yang mungkin berubah seiring waktu. Tetap dengan sesuatu baik secara geografis atau beton yang cukup masuk akal 5 atau bahkan 10 tahun ke depan.
  2. Tetap dengan nama pendek 15 karakter atau kurang, ini akan memungkinkan untuk nama NETBIOS dengan mudah sama dengan nama domain.

Akhirnya, saya sarankan Anda berpikir jangka panjang sebanyak mungkin. Perusahaan memang melalui merger dan akuisisi, bahkan perusahaan kecil. Juga pikirkan dalam hal mendapatkan bantuan / konsultasi luar. Gunakan nama domain, struktur AD, dll. Yang akan dijelaskan kepada konsultan atau orang-orang di SF tanpa banyak usaha.

Tautan pengetahuan:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

Halaman rekomendasi Microsoft saat ini (W2k12) untuk nama domain root forest

Pembersih
sumber
2

Saya tidak setuju menggunakan:

  • example.com - untuk alasan yang sudah dinyatakan dalam jawaban lain

Saya dapat menerima menggunakan:

  • ad.example.com - - untuk alasan yang sudah dinyatakan dalam jawaban lain

Tetapi saya tidak akan melakukannya sendiri atau merekomendasikannya. Selama pengambilalihan perusahaan, rebranding semua terjadi, terutama ketika manajemen pada saat itu ingin semuanya berubah segera. Mengganti nama migrasi, perubahannya sangat sulit atau mahal.

Cara terbaik yang saya sarankan adalah membeli domain yang tidak relevan dengan nama perusahaan dan juga tidak relevan dengan merek perusahaan. SEDERHANA. CLOUD atau serupa harus baik-baik saja selama Anda bisa memilikinya.

Saya telah melihat perusahaan besar dengan 150k pengguna menggunakan AD yang masih mereferensikan perusahaan lama yang mereka beli bertahun-tahun yang lalu, atau perusahaan yang mengubah nama dan meskipun dalam jangka panjang Anda tidak menggunakan \ login (jika Anda tidak bisa gunakan UPN) itu masih terlihat buruk di depan manajemen yang tidak mengerti mengapa tidak sepele untuk mengubahnya.

MadBoy
sumber
-16

Saya selalu melakukannya mydomain.local.

local bukan TLD yang valid, sehingga tidak pernah bersaing dengan entri DNS publik yang sebenarnya.

Sebagai contoh, saya suka mengetahui bahwa web1.mydomain.localakan menyelesaikan ke IP internal dari server web, sementara web1.mydomain.comakan menyelesaikan ke IP eksternal.

Portman
sumber
8
FWIW, .localpermintaan palu pada root L-server - ~ 800 / detik ketika saya melihat.
jscott
2
dot.Local, AKA dot.Fail
PnP
2
Menggunakan TLD yang tidak valid (atau domain tidak terdaftar) bukan praktik terbaik, ini praktik terburuk, karena semua alasan yang disebutkan di atas. Saya akan mengakui bahwa saya telah menggunakan .local, tapi itu sebelum saya tahu lebih baik.
Jonathan J