在 Active Directory 中創建新林時必須註冊根域名嗎?
在執行 Windows Server 2012 R2 的域控制器上的 Active Directory 中創建新林時,系統提示我指定根域名。域名必須註冊並歸我所有嗎?如果我進入一個由 microsoft.com 等其他人註冊並擁有的域,會發生什麼情況?稍後當我嘗試將 Windows 電腦添加到此域時,它會在 Internet 上搜尋 microsoft.com 還是僅在其子網(我的域控制器)中搜尋?只輸入像 microsoft.com 這樣擁有的域是否安全/更可取?
Active Directory 域的名稱僅供內部使用,因此您可以隨意命名;但是,在 Active Directory 環境中,域名還充當域中所有電腦的 DNS 後綴,並且域控制器充當內部 DNS 伺服器,這些伺服器(或至少表現得如此)對該 DNS 域具有權威性。
這意味著,如果 AD 域名與 Internet 上存在的實際域名衝突,則該域的所有 DNS 查詢都將由您的 DC 回答,而不是由管理它的實際 Internet DNS 伺服器回答。在您的情況下,如果您將域命名為“microsoft.com”,那麼在嘗試連接到 Microsoft 站點或服務時會遇到各種問題,因為您將無法查詢該域的公共 DNS 伺服器(因為您的內部 DNS 伺服器會認為他們理所當然地擁有它)。
順便說一句,如果您使用真正的公共 DNS 域作為 Active Directory 域,情況也是如此:事情當然要簡單得多,因為您實際上同時擁有它們,但這仍然需要您為同一個域維護兩個不同的 DNS 設置,一個用於 Internet,另一個用於您的內部網路。
作為最佳實踐,您應該使用公共 DNS 域的子域作為 AD 域名;如果您的公共域是“domain.com”,則可以使用“internal.domain.com”或“ad.domain.com”或其他任何內容,只要它是有效的子域;這將確保沒有衝突和更少的頭痛。
無論如何,您應該不要使用您實際上並不擁有的任何域名,即使它目前未處於活動狀態(因為它仍然可以由您以外的其他人稍後註冊,並且會隨之而來)。