Ant*_*lev 94 windows active-directory best-practices
这是一个关于 Active Directory 域命名的规范问题。
在虚拟环境中对 Windows 域和域控制器进行试验后,我意识到将 Active Directory 域命名为与 DNS 域相同的名称是个坏主意(这意味着example.com当我们拥有example.com域名时,将 Active Directory 名称作为 Active Directory 名称是不好的)注册用作我们的网站)。
这个相关问题似乎支持该结论,但我仍然不确定命名 Active Directory 域还有哪些其他规则。
是否有关于 Active Directory 名称应该是什么或不应该是什么的最佳实践?
Eva*_*son 104
这是关于服务器故障的一个有趣的讨论话题。关于这个话题似乎有不同的“宗教观点”。
我同意微软的建议:使用公司已经注册的 Internet 域名的子域。
所以,如果你拥有foo.com,使用ad.foo.com或一些这样的。
在我看来,最卑鄙的事情是将注册的 Internet 域名逐字用作 Active Directory 域名。这会导致您被迫手动将记录从 Internet DNS(如www)复制到 Active Directory DNS 区域以允许解析“外部”名称。我见过一些非常愚蠢的东西,比如在运行一个网站的组织中的每个 DC 上都安装了 IIS,该网站执行重定向,这样进入foo.com他们的浏览器的人将被www.foo.com这些 IIS 安装重定向到。愚蠢至极!
使用 Internet 域名不会给您带来任何好处,但每次更改外部主机名引用的 IP 地址时都会产生“使工作”。(尝试为外部主机使用地理负载平衡的 DNS,并将其与这种“拆分 DNS”情况相结合!天啊——那会很有趣......)
使用这样的子域对 Exchange 电子邮件传递或用户主体名称 (UPN) 后缀等内容没有影响,顺便说一句。(我经常看到那些都被引用为使用 Internet 域名作为 AD 域名的借口。)
我也看到了“很多大公司都这样做”的借口。大公司可以像小公司一样容易(如果不是更容易)做出愚蠢的决定。我不会仅仅因为一家大公司做出了一个错误的决定而以某种方式使其成为一个好的决定而购买它。
MDM*_*rra 98
这个问题只有两个正确答案。
您公开使用的域的未使用子域。例如,如果您的公共网络存在是example.com您的内部 AD 可能命名为类似ad.example.com或internal.example.com。
您拥有且未在其他任何地方使用的未使用的二级域。例如,如果您的公共网络存在是example.com您的 AD ,只要您已注册并且不在其他任何地方使用它,就可能会被命名!example.net example.net
这是你唯一的两个选择。如果你做其他事情,你就会让自己承受很多痛苦和折磨。
但是每个人都使用 .local!
没关系。你不应该。我在博客中介绍了 .local 和其他编造的 TLD,如 .lan 和 .corp 的使用。在任何情况下,您都不应该这样做。
这不是更安全。这不是某些人声称的“最佳实践”。与我提出的两种选择相比,它没有任何好处。
但我想将其命名为与我的公共网站的 URL 相同的名称,以便我的用户使用example\user而不是ad\user
这是一个有效但被误导的问题。当您提升域中的第一个 DC 时,您可以将域的 NetBIOS 名称设置为您想要的任何名称。如果您按照我的建议将域设置为ad.example.com,则可以将域的 NetBIOS 名称配置为 ,example以便您的用户以example\user.
在 Active Directory 林和信任中,您还可以创建其他 UPN 后缀。没有什么可以阻止您创建和设置 @example.com 作为域中所有帐户的主要 UPN 后缀。当您将此与之前的 NetBIOS 建议结合使用时,最终用户将永远不会看到您的域的 FQDN 是ad.example.com. 他们看到的一切都将是example\或@example.com。唯一需要使用 FQDN 的人是使用 Active Directory 的系统管理员。
此外,假设您使用水平分割 DNS 命名空间,这意味着您的 AD 名称与面向公众的网站相同。现在,example.com除非您www.在浏览器中添加前缀或在所有域控制器上运行 IIS(这很糟糕),否则您的用户无法访问内部。你还必须策划两个共享不相交命名空间的不同 DNS 区域。这真的比它的价值更麻烦。现在想象一下,您与另一家公司有合作关系,他们也有一个水平分割的 DNS 配置,带有他们的 AD 和他们的外部存在。您在两者之间有一条私有光纤链路,您需要建立信任。现在,您到任何公共站点的所有流量都必须通过专用链接,而不仅仅是通过 Internet 出去。这也给双方的网络管理员带来了各种各样的麻烦。避免这种情况。相信我。
但是但是但是...
说真的,没有理由不使用我建议的两件事之一。任何其他方式都有陷阱。我并不是要您在域名正常运行并就位的情况下急于更改域名,但是如果您要创建新的 AD,请执行我上面建议的两件事之一。
The*_*ner 34
协助 MDMarra 的回答:
您也不应该为您的域名使用单标签 DNS 名称。这是/在 Windows 2008 R2 之前可用。可以在此处找到原因/解释: 使用单标签 DNS 名称配置的 Active Directory 域的部署和操作 | 微软支持
不要忘记不要使用保留字(本文底部的“命名约定”链接中包含一个表格),例如 SYSTEM 或 WORLD 或 RESTRICTED。
我也同意微软的观点,你应该遵循两个额外的规则(不是一成不变的,但仍然如此):
最后,我建议你尽可能地考虑长远。公司确实会经历并购,即使是小公司。还要考虑获得外部帮助/咨询。使用域名、AD 结构等,无需太多努力即可向 SF 上的顾问或人员解释。
知识链接:
http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx
http://support.microsoft.com/kb/909264
http://support.microsoft.com/kb/300684/en-us
| 归档时间: |
|
| 查看次数: |
109204 次 |
| 最近记录: |