希望我们都知道命名 Active Directory 林的建议是什么,而且它们非常简单。也就是说,可以用一句话概括。
使用现有注册域名的子域,并选择一个不会在外部使用的子域。 例如,如果我是纳入并注册hopelessn00b.com域名,我的内部AD林应该命名internal.hopelessn00b.com或ad.hopelessn00b.com或corp.hopelessn00b.com。
有使用压倒性令人信服的理由,以避免“假”顶级域名或单标签域名,但我有一个很难找到同样令人信服的理由,以避免使用根域(hopelessn00b.com)作为我的域名,使用子域名,例如corp.hopelessn00b.com代替. 真的,我似乎能找到的唯一理由是从内部访问外部网站需要 A nameDNS 记录并www.在浏览器中的网站名称前键入,就问题而言,这非常“meh”。
那么,我错过了什么?为什么使用ad.hopelessn00b.com作为我的 Active Directory 林名称要好得多hopelessn00b.com?
只是为了记录,确实需要说服我的雇主 - 老板人在兜售,在让我继续创建以corp.hopelessn00b'semployer.com我们内部网络命名的新 AD 林后,他想坚持使用名为hopelessn00b'semployer.com(与我们的外部注册域相同)。我希望我能得到一些令人信服的理由或理由,认为最佳做法是更好的选择,所以我可以说服他……因为这似乎比愤怒辞职和/或找新工作更容易,至少对于此时此刻。现在,“Microsoft 最佳实践”和在内部访问我们公司的公共网站似乎并没有削减它,我真的,真的,真的希望这里有人有更令人信服的东西。
domain-name-system active-directory split-dns best-practices
我们正在尝试配置 Cisco 5505,并且已通过 ASDM 完成。
有一个我们无法解决的大问题,那就是当你从里到外再回来的时候。
例如,我们有一个“内部”服务器,如果我们在内部或外部,我们希望能够使用相同的地址访问该服务器。
问题是添加一个规则,允许从内部到外部的流量,然后再返回。
不久前我问了一个类似的问题,但愚蠢地引用了内部到内部 NAT。不是网络管理员,我在网络方面的术语是有限的,并导致回答我的问题的答案,但不是我的问题的精神。
想象一下大多数托管自己服务器的中小型企业的常见情况:
您有一个带有多个接口的防火墙。它们是 LAN、WAN 和 DMZ。
您的网络/邮件服务器具有 RFC1918 地址,这些地址是从 DMZ 接口到公共 IP 的 1:1 NAT。
LAN 接口上的设备定期与 DMZ 接口上的设备通信。
您有一个名为corp.example.com您的 Web 服务器的 Active Directory 域位于外部example.com区域中。
在许多部署中,通常会看到内部 DNS 服务器(AD 域控制器)托管具有example.comRFC1918 地址的区域的内部副本。为什么没有更多的组织配置 NAT U-turns/hairpins 以便您不需要具有不同信息的该区域的第二个副本?为什么组织不简单地将内部 DNS 用于corp.example.com和外部 DNSexample.com并称之为一天?
是的,在大型企业中,您最好拥有单独的 DMZ 防火墙,甚至单独的 DMZ 互联网连接。我所知道的任何 SMB 都不是这种情况。
是的,ASA 对此有一些蹩脚的许可。我不在乎许可限制,这只是钱。我知道他们可以配置为允许使用same-security-traffic.
我在 Juniper 商店工作多年,在没有任何疯狂配置的情况下运行良好,Cisco 管理员怎么似乎对此有这么多问题?在瞻博网络套件上完成是否真的容易得多?是 IOS 的限制使 Cisco 网络管理员对配置它不感兴趣吗?