Active-Directory
為 Active Directory 使用內部或外部域名的優缺點
我總是被教導使用內部域名(
company.local
或company.corp
)Active Directory
代替(company.com
或company.pl
)。最近我們在想,通過使用外部域名,我們可以獲得一些優勢,例如 Exchange、Sharepoint 等的證書,內部和外部名稱完全相同,無需購買特殊證書。兩者的優點和缺點是什麼?這樣做時可能會出現什麼潛在問題,什麼可能是一個很大的優勢?
在過去十年中,我建構並支持了數十個 Active Directory 森林,從建構 10 使用者 SBS 伺服器到接管 50 多個 DC 的 6,000 使用者森林並重新設計整個事物。如果您計劃得當,我可以說我沒有理由不使用您的 .com 網際網路域名作為 AD 林名稱。由於 Bonjour 與較舊的 Mac OS X 版本不兼容,以及您引用的原因,微軟幾年前就停止推薦使用 .local 域。由於現在有更好的工具和管理,從 Win2000 開始,將主域作為子域來創建“無成員”根域的想法也已被淘汰。
使用 Internet 和 AD 域進行“裂腦”DNS 的原因相同:
- 最佳理由:Web 應用程序的 URL 對使用者來說內外都是相同的(建議通過 GPO 將您的內部域名添加到 IE 內網安全區域)
- 輕鬆使登錄和電子郵件地址相同的選項(NT4 登錄方式是域\使用者,但在現代 Windows 中也需要 username@domain.com)
- OCS/Lync SIP 地址與電子郵件和登錄相同
- 您可以將公共證書用於內部伺服器,而不是您的私有 CA
負面:
- split-tunnel VPN 當您的網路外的客戶端電腦需要決定使用 website.domain.com 的公共 IP 或內部 IP 時,複雜性就會發揮作用。通常公司(為了便宜並節省頻寬)為拆分隧道設置客戶端 Windows VPN 設置,這告訴 Windows 僅將流量發送到以內部名稱/IP 為目標的 Intranet。當 DNS 可以解析網路內外相同的名稱時,它應該選擇使用哪個?Windows 將為您提供用於客戶端的 DNS 記錄(私有或公共)的混合結果。我的建議:不要在客戶端 VPN 中允許拆分隧道。