Hop*_*00b 23 domain-name-system active-directory split-dns best-practices
希望我们都知道命名 Active Directory 林的建议是什么,而且它们非常简单。也就是说,可以用一句话概括。
使用现有注册域名的子域,并选择一个不会在外部使用的子域。 例如,如果我是纳入并注册hopelessn00b.com域名,我的内部AD林应该命名internal.hopelessn00b.com或ad.hopelessn00b.com或corp.hopelessn00b.com。
有使用压倒性令人信服的理由,以避免“假”顶级域名或单标签域名,但我有一个很难找到同样令人信服的理由,以避免使用根域(hopelessn00b.com)作为我的域名,使用子域名,例如corp.hopelessn00b.com代替. 真的,我似乎能找到的唯一理由是从内部访问外部网站需要 A nameDNS 记录并www.在浏览器中的网站名称前键入,就问题而言,这非常“meh”。
那么,我错过了什么?为什么使用ad.hopelessn00b.com作为我的 Active Directory 林名称要好得多hopelessn00b.com?
只是为了记录,确实需要说服我的雇主 - 老板人在兜售,在让我继续创建以corp.hopelessn00b'semployer.com我们内部网络命名的新 AD 林后,他想坚持使用名为hopelessn00b'semployer.com(与我们的外部注册域相同)。我希望我能得到一些令人信服的理由或理由,认为最佳做法是更好的选择,所以我可以说服他……因为这似乎比愤怒辞职和/或找新工作更容易,至少对于此时此刻。现在,“Microsoft 最佳实践”和在内部访问我们公司的公共网站似乎并没有削减它,我真的,真的,真的希望这里有人有更令人信服的东西。
MDM*_*rra 25
有这么多的代表。来我珍贵。
好的,因此 Microsoft 已经很好地记录了您不应该使用水平分割,或者您多次链接到的虚构 TLD(在我的博客上大喊大叫!)。这有几个原因。
www你上面指出的问题。烦人,但不是交易破坏者。
它迫使您维护所有面向公众的服务器的重复记录,这些服务器也可以在内部访问,而不仅仅是www. mail.hopelessnoob.com是一个常见的例子。在理想情况下,您应该有一个单独的外围网络,用于诸如mail.hopelessnoob.com或 之类的东西publicwebservice.hopelessnoob.com。对于某些配置,例如具有内部和外部接口的 ASA,无论如何您都需要内部内部 NAT 或水平分割 DNS ,但对于具有合法外围网络的大型组织,您的面向 Web 的资源不在发夹式 NAT 边界后面 -这会导致不必要的工作。
想象一下这种情况 - 你在hopelessnoob.com内部和外部。您有一家与您合作的公司,example.com他们做同样的事情——在内部与他们的 AD 和他们可公开访问的 DNS 命名空间进行水平分割。现在,您配置了一个站点到站点 VPN,并希望对信任进行内部身份验证以遍历隧道,同时可以访问其外部公共资源以通过 Internet 出去。如果没有令人难以置信的复杂策略路由或保留您自己的内部 DNS 区域副本,这几乎是不可能的 - 现在您刚刚创建了一组额外的 DNS 记录来维护。因此,您必须在自己的一端处理发夹和、策略路由/NAT 以及各种其他技巧。(我实际上处于这种情况下,我继承了一个 AD)。
如果您曾经部署DirectAccess,它会极大地简化您的名称解析策略 - 这可能也适用于其他拆分隧道 VPN 技术。
其中一些是边缘情况,一些不是,但它们都很容易避免。如果你有能力从一开始就做到这一点,不妨以正确的方式去做,这样你就不会在十年内遇到其中一个。
这句话:“真的,我似乎能找到的唯一理由是从内部访问外部网站需要 SRV DNS 记录并在浏览器中的网站名称前键入 www.”是不正确的。
这意味着您需要在 AD DNS 服务器中保留所有公共记录的副本,这可能会导致问题,特别是如果您没有正确执行 - 错过一些等。如果有人想要访问 ftp.company。 com 但您忘记在内部 DNS 中创建别名(或者没有正确地自动化),内部人员根本无法访问公共 FTP 站点。
这在您链接到的问题中得到了很好的充实: Windows Active Directory 命名最佳实践?
如果维护您的 DNS 区域的多个副本对于您来说是一个容易永远正确解决的问题,那么我想您可以随心所欲。直到 MS 改变了一些破坏它的东西。你可以只遵循他们的建议。
我不太关心代表今天创建一个长答案......所以我会保持简短。
我曾经对 split-dns 很好,并多次实施它,直到 Evan 和 Mark 说服我否则。老实说,这并不是不能完成……它可以,而且有些人可能会很好(尽管为此付出了开销和工作)。
几年前出现的 2 件具体的事情对我来说固化了不使用它:
www不会显示实际网站,因为域记录对应于 AD 域和不是一个包罗万象的地方,www也不能在内部。希望有帮助。
| 归档时间: |
|
| 查看次数: |
10237 次 |
| 最近记录: |