在我们的办公室,我们有一个带有纯内部 DNS 设置的局域网,所有客户端都命名为whatever.lan. 我还有一个 VMware 环境,在纯虚拟机网络上,我将虚拟机命名为whatever.vm.
目前,该网络为虚拟机是不是从我们的局域网访问,但我们正在建立一个生产网络将这些虚拟机迁移到,这将是从局域网访问。因此,我们正在尝试为我们正在设置的这个新网络上的来宾应用的域后缀/TLD 制定一个约定,但鉴于此.vm,我们无法提出一个好的约定,.local并且.lan所有这些都在我们的环境中具有现有的内涵。
那么,在这种情况下,最佳做法是什么?是否有可安全用于纯内部网络的 TLD 或域名列表?
domain-name-system local-area-network hostname best-practices
这是一个关于 Active Directory 域命名的规范问题。
在虚拟环境中对 Windows 域和域控制器进行试验后,我意识到将 Active Directory 域命名为与 DNS 域相同的名称是个坏主意(这意味着example.com当我们拥有example.com域名时,将 Active Directory 名称作为 Active Directory 名称是不好的)注册用作我们的网站)。
这个相关问题似乎支持该结论,但我仍然不确定命名 Active Directory 域还有哪些其他规则。
是否有关于 Active Directory 名称应该是什么或不应该是什么的最佳实践?
选择本地域名(例如 mycompany.local)与公开注册的域名(例如 mycompany.com(假设您的组织已注册公共名称))的优缺点是什么?你什么时候会选择一个?
感谢 Zoredache 和 Jay 向我指出这个问题,其中有最有用的回答。这也让我找到了这篇Microsoft Technet 文章,其中指出:
最好使用在 Active Directory 命名空间中通过 Internet 授权注册的 DNS 名称。只有注册的名称才能保证是全球唯一的。如果另一个组织后来注册了相同的 DNS 域名,或者如果您的组织与使用相同 DNS 名称的其他公司合并、收购或被其他公司收购,则这两个基础架构无法相互交互。
笔记
不建议使用单个标签名称或未注册的后缀,例如 .local。
结合 mrdenny 的建议,我认为正确的方法是使用:
“从未公开使用”部分是一项商业决策,因此最好从公司中有权保留域名和子域的人员那里获得批准。例如,您不想使用营销部门以后想要用于某些公共营销活动的注册名称或子域。
希望我们都知道命名 Active Directory 林的建议是什么,而且它们非常简单。也就是说,可以用一句话概括。
使用现有注册域名的子域,并选择一个不会在外部使用的子域。 例如,如果我是纳入并注册hopelessn00b.com域名,我的内部AD林应该命名internal.hopelessn00b.com或ad.hopelessn00b.com或corp.hopelessn00b.com。
有使用压倒性令人信服的理由,以避免“假”顶级域名或单标签域名,但我有一个很难找到同样令人信服的理由,以避免使用根域(hopelessn00b.com)作为我的域名,使用子域名,例如corp.hopelessn00b.com代替. 真的,我似乎能找到的唯一理由是从内部访问外部网站需要 A nameDNS 记录并www.在浏览器中的网站名称前键入,就问题而言,这非常“meh”。
那么,我错过了什么?为什么使用ad.hopelessn00b.com作为我的 Active Directory 林名称要好得多hopelessn00b.com?
只是为了记录,确实需要说服我的雇主 - 老板人在兜售,在让我继续创建以corp.hopelessn00b'semployer.com我们内部网络命名的新 AD 林后,他想坚持使用名为hopelessn00b'semployer.com(与我们的外部注册域相同)。我希望我能得到一些令人信服的理由或理由,认为最佳做法是更好的选择,所以我可以说服他……因为这似乎比愤怒辞职和/或找新工作更容易,至少对于此时此刻。现在,“Microsoft 最佳实践”和在内部访问我们公司的公共网站似乎并没有削减它,我真的,真的,真的希望这里有人有更令人信服的东西。
domain-name-system active-directory split-dns best-practices
可以app.mycoolname.local用于私有/内部 URL 吗?
我们有几个基于 Web 的应用程序,但它们是私有应用程序,不向公众公开。
我们一直在为其中一些使用“.net”,这没有意义,因为它们可能与互联网上的真实 URL 发生冲突。这还不是问题。
但是现在我有一组新的应用程序,我想使用“流行”名称来命名它们,这肯定会与 Internet 上的 URL 冲突。
我应该使用app.mycoolname.local吗?我现在以这种方式设置它,它似乎正在工作。我读过一些鼓励它的地方,但后来我看到了一些它不起作用的地方(Mac 上有些问题,但我们没有这些,所以 NBD)。
我一直在阅读有关 AD 和诸如此类的建议顶级域的内容。我曾经将域设置为 ascompany.local并且效果很好,但是,更多的人希望使用他们的外部域company.com而不是 .local 后缀。
我有一个快速澄清的问题,如果我们要实际使用我们注册的域名,我应该如何设置我的第一个林?
设置一个新的林很容易,company.com但是我不是必须向corp.company.com新的 DC添加一个子域吗?基本上只需要两个 DC 就可以设置一个域。
或者我会创建第一个森林corp.company.com并完成它?这似乎更有意义。
这是我的情况。我有一台 2012 年的 Active Directory 服务器,上面安装了 DNS。我还有一个 sonicwall NSA 240 路由器,它充当 DHCP 服务器。在 sonic wall 上,我将 dns 条目设置为以下内容:
主要 - 172.16.0.6(DNS 服务器的 IP)次要 - 4.2.2.1
一切正常,我什至可以在客户端机器上加入域。但是,如果我尝试访问 sam.sightly.com,这是一个我们托管的网络服务器,我的浏览器会返回说无法显示该页面并检查我的 DNS 设置。但是,常规的互联网浏览有效
如果我翻转 dns 条目并转到:
主要 - 4.2.2.1 次要 - 172.16.0.6
我的问题消失了,但我无法再加入域,我可以访问 sam.sightly.com
提前致谢。
我正在运行 Active Directory 2012(就像今天一样运行)并且我选择了域“markonsolutions.com”
我现在注意到,当我尝试访问 www.markonsolutions.com 时,dns 不知道如何处理它。
我的问题
1)将我们的内部域命名为我们的 Internet 域是否是一种不好的做法(我的目的是通过为他们提供与电子邮件地址相同的登录来简化我的用户的生活)
2)如果让它们同名没什么大不了我如何添加 www 或我的任何其他子域以访问互联网 dns?
谢谢