我知道目前的最佳做法规定我的 Windows AD 域名应该是购买的全球唯一命名空间(即 ad.namespace.com)的子域。那很好,很花哨。
我的问题是,如果我们的公共域注册失效并且有人从我们下面抢占了域名(坏人现在拥有 namespace.com),会引入哪些潜在的安全漏洞?他们能否利用一些 DNS 巫术攻击我们在 ad.namespace.com 上的内部网络?不知情的最终用户是否会被诱骗做一些他们不应该做的事情,或者通过访问占据我们被占用的网址的恶意网站来泄露敏感的私人域信息?是否存在由拥有我们根级域名的坏人导致的远程 AD 身份验证漏洞?
我可能会因为这样说而受到愤怒,但让私有 AD 域占据一个无法从 Internet 访问的单独命名空间似乎更安全,例如whatever.local。我知道这是讨厌的。有人请让我放心。我花了几天时间试图研究这个问题,但我找不到其他人分享我对根级域名的潜在危害的担忧。也许我只是在做nuubi。提前致谢。