相关疑难解决方法(0)

可能重复：
Windows AD 域命名建议

那里有很多真正搞砸的配置，因为人们没有花一分钟时间坐下来考虑像他们的 Active Directory 林的名称这样简单的事情。我问这个问题是为了自我回答，以便更容易获得这些知识。如果您认为自己有更好的答案，请务必添加您的意见（但要准备好捍卫它！）

那么，我应该为我的新 Active Directory 命名什么？

选择本地域名（例如 mycompany.local）与公开注册的域名（例如 mycompany.com（假设您的组织已注册公共名称））的优缺点是什么？你什么时候会选择一个？

更新

感谢 Zoredache 和 Jay 向我指出这个问题，其中有最有用的回答。这也让我找到了这篇Microsoft Technet 文章，其中指出：

最好使用在 Active Directory 命名空间中通过 Internet 授权注册的 DNS 名称。只有注册的名称才能保证是全球唯一的。如果另一个组织后来注册了相同的 DNS 域名，或者如果您的组织与使用相同 DNS 名称的其他公司合并、收购或被其他公司收购，则这两个基础架构无法相互交互。

笔记

不建议使用单个标签名称或未注册的后缀，例如 .local。

结合 mrdenny 的建议，我认为正确的方法是使用：

1. 永远不会公开使用的注册域名（例如 mycompany.org、mycompany.info 等）。
2. 永远不会公开使用的现有公共域名的子域（例如 corp.mycompany.com）。

“从未公开使用”部分是一项商业决策，因此最好从公司中有权保留域名和子域的人员那里获得批准。例如，您不想使用营销部门以后想要用于某些公共营销活动的注册名称或子域。

请注意，我确实知道这个问题的答案，并在下面提供了一个答案。我看到很多新的系统管理员不理解我的答案的内容，所以我希望所有初学者 AD DNS 问题都将作为此副本的副本关闭。如果您有细微的改进，请随时编辑我的答案。如果您可以提供更全面的完整答案，请随时留下一个。

DNS 与 Active Directory 有何关联？我应该注意哪些常见配置？

希望我们都知道命名 Active Directory 林的建议是什么，而且它们非常简单。也就是说，可以用一句话概括。

使用现有注册域名的子域，并选择一个不会在外部使用的子域。 例如，如果我是纳入并注册hopelessn00b.com域名，我的内部AD林应该命名internal.hopelessn00b.com或ad.hopelessn00b.com或corp.hopelessn00b.com。

有使用压倒性令人信服的理由，以避免“假”顶级域名或单标签域名，但我有一个很难找到同样令人信服的理由，以避免使用根域（hopelessn00b.com）作为我的域名，使用子域名，例如corp.hopelessn00b.com代替. 真的，我似乎能找到的唯一理由是从内部访问外部网站需要 A nameDNS 记录并www.在浏览器中的网站名称前键入，就问题而言，这非常“meh”。

那么，我错过了什么？为什么使用ad.hopelessn00b.com作为我的 Active Directory 林名称要好得多hopelessn00b.com？

只是为了记录，确实需要说服我的雇主 - 老板人在兜售，在让我继续创建以corp.hopelessn00b'semployer.com我们内部网络命名的新 AD 林后，他想坚持使用名为hopelessn00b'semployer.com(与我们的外部注册域相同）。我希望我能得到一些令人信服的理由或理由，认为最佳做法是更好的选择，所以我可以说服他……因为这似乎比愤怒辞职和/或找新工作更容易，至少对于此时此刻。现在，“Microsoft 最佳实践”和在内部访问我们公司的公共网站似乎并没有削减它，我真的，真的，真的希望这里有人有更令人信服的东西。

在我们的网络中，网络域的名称也是组织网站的域（例如，example.com）。在外部，人们可以进入example.com访问我们的网站，但在内部，这指向几个域控制器之一，我们有 Active Directory，其中一些甚至不运行网络服务器。

因此，链接在http://example.com内部only www.example.com不起作用（在内部起作用）。

我们如何将 http 请求透明地指向 Web 服务器，这有什么副作用？

与我之前提出的关于为什么将根域名用作 Active Directory 林的名称是个坏主意有关的问题...

为了简单（和诚实），我有一个雇主，我将其称为 ITcluelessinc。该雇主有一个外部托管网站www.ITcluelessinc.com和一些 Active Directory 域。多年前，由于对 IT 一无所知，他们将自己设置在一个名为 的 Active Directory 林中ITcluelessinc.prv，并对它进行了难以形容的暴行。这些难以言喻的暴行最终追上了他们，随着他们周围的一切都崩溃了，他们决定付给某人一大笔钱来“修复它”，其中包括从破碎的可怕ITcluelessinc.prv森林中迁出。

当然，由于对 IT 一无所知，当他们听到它时，他们不知道好的建议，接受了为他们的新 AD 森林命名的建议ITcluelessinc.com，而不是他们也得到的明智建议，并开始在上面放东西。快进到几个小时前，我们有一家公司的大部分内容都加入并使用了旧的ITcluelessinc.prvActive Directory 林，还有相当数量的较新的东西加入和/或使用了该ITcluelessinc.com林。为了相对无缝地协同工作，我在 DNS 中使用了条件转发器将ITcluelessinc.com流量发送到ITcluelessinc.prv，反之亦然。

（corp.ITcluelessinc.com和eval.ITcluelessinc.com域是我后来进入并设置的正确命名的域，目前尚不相关。）

回到几个小时前，ITcluelessinc 的一名非技术员工注意到她无法从她的工作站（在 ITcluelessinc 公司网络内）浏览www.ITcluelessinc.com，并认为这是一个问题，因此她联系了ITcluelessinc 的 VIP 员工，他决定必须解决这个问题，Ricky-tick。通常，没什么大不了的，www在 的 DNS 区域下添加 A 记录ITcluelessinc.com，您可以浏览该站点，只要您不尝试裸链接。

所以，看起来一切都设置正确。转发器、wwwDNS 中的主机条目以及使用ITcluelessinc.prv域控制器作为 DNS 服务器的客户端在尝试浏览www.ITcluelessinc.com而不是我从家庭网络获得的网页时会出现连接超时。

考虑到Active Directory 林和它需要的条件转发器的存在，是否有人对我如何允许ITcluelessinc.prv …

我读过在域中使用 .local 是不合适的，尤其是在 Microsoft Windows 服务器上。我还阅读了ServerFault 上的Windows Active Directory 命名最佳实践文章，这很有帮助，但没有完全回答我关于“本地”的问题，我认为它在某种程度上是一个保留关键字并且会出现问题。

我拥有该域keiboom.com并将我的 Active Directory 域设置为local.keiboom.com. 这会产生问题吗？

不幸的是，我继承了一个 Active Directory 域，其名称是公司不拥有的 DNS 名称——我们将其称为 ABC.com。我希望它是 company.com 下的东西（根据MDMarra 对 AD 命名的回答，我可能会使用 ad.company.com，因为您永远不想使用用于其他任何事情的 DNS 名称），但是对于现在是今年能够将电子邮件移至 Office 365 并使用目录同步。为此，看起来我至少需要一个与我们的电子邮件域 (company.com) 匹配的 UPN。好的，添加第二个 UPN 的过程似乎很简单。测试它并移动帐户直到它们都在所需的 UPN 上似乎足够合理。

这样做有什么缺点吗？如果我们无限期地使用 ABC.com 这个“非拥有”域名，技术债务的死神最终会到来吗？

作为参考，我们有一个单林、单域，其中包含 2012R2 级别的所有内容（林、功能级别、所有 DC）以及此域上的 Exchange 2010。AD 中有大约 150 个用户和 450 台计算机（大量开发/测试自动化）。虽然我从 2003 年到 2012R2 一直安全地导航我们，但我决不会称自己为 AD 专家。

看起来通常不建议域重命名，而且由于我们的域上有 Exchange 2010，我不相信它甚至是一种选择。

在我看来，我可以：

• 添加第二个 UPN 并完成。我可以处理必须在我们创建/添加它们时手动设置 UPN 的事情......
• 向林中添加第二个域，将所有内容都移过去，并且永远拥有这个我无法删除的旧根域
• 创建第二个森林，森林 <-> 森林信任，在这个新森林上按照我真正想要的方式从头开始……移动一切，最终移除原始森林。真的很慢，真的很仔细，向前和向后测试，而且可能花费很大（至少花费的时间）。在梦幻世界中，这似乎是最好的，但我不确定我是否可以为此证明一个商业案例（除非有人说会发生死神降临）。
• ？？？我还没有想到的其他事情

有什么方法可以在corp.domain.com不首先创建domain.comAD DC 的情况下创建活动目录域？

或者换句话说，corp.domain.com 可以成为森林的根吗？

它看起来越来越像我必须重命名我的 Active Directory 域。

进行此更改有一个众所周知的过程，其中包括一些关于 Server Fault 的非常好的答案（例如这个）。我知道您可能认为我想问一个重复的问题，但这包括“不触发革命”这个模糊的话题。

我从 Active Directory 诞生之初就继承了一个内部 Active Directory 域。我们将ACRO.TLD使用 NetBIOS 名称ACRO（“首字母缩写词”的缩写）来调用它。

当每个人都在防火墙后面使用爷爷盒子时，这很棒。但是这种做法现在已被弃用，并且可能会导致问题。有更多的移动设备，如果域名泄露到互联网上可能会非常糟糕。

我需要

1. 将变更出售给经理
2. 尽量减少对用户的干扰，尤其是那些喜欢便利的用户（见要求 1）。（更改 NetBIOS 域名ACRO将破坏交易）。

在计划和呈现更改时必然会做出增加成功机会的决定（即用户不会带着干草叉和手电筒出现在我家门口）。这显然是一个主观问题，最好的答案来自已经经历过变革的人。

将其出售给管理层可能包括解释“非常糟糕的事情”背后的原因，并结合“变化不应该那么糟糕”。

所以现在的问题是如何让改变不那么糟糕，换句话说，最大限度地减少对用户的干扰。我讨厌听起来是开放式的，但我可能会被一些基本的东西绊倒。

我们拥有域名，我将称之为COMPANYNAME.COM和COMPANYNAME.NET。我们的外部网站和电子邮件地址（电子邮件在外部托管，没有 Exchange）使用COMPANYNAME.COM；我们有COMPANYNAME.NET作为防止域名抢注的缓冲。

所以我认为我最好的选择是

ACRO.COMPANYNAME.COM （子域）
COMPANYNAME.NET

我比较喜欢ACRO.COMPANYNAME.COM的，因为用户已经习惯ACRO并COMPANYNAME.COM和我们只是把两者结合起来。无需更改 NetBIOS 域名，当然 Windows 10 登录屏幕默认使用计算机加入的域。

由于我已经列出的现有实践，用户已经接受过培训，以使用单独的用户名和密码进行 Windows 登录和电子邮件（对于托管电子邮件来说可能是一件好事）

一些缺点是

• ACRO.COMPANYNAME.COM 已经是在 Internet DNS 中注册的主机名。
• 当两个帐户都包含companyname.
• 一个痛点可能是人们必须输入三倍才能输入登录凭据。

但这些是前进的真正障碍ACRO.COMPANYNAME.COM吗？我错过了什么吗？