為 Active Directory 使用內部或外部域名的優缺點

我總是被教導使用內部域名（company.local或company.corp）Active Directory代替（company.com或company.pl）。最近我們在想，通過使用外部域名，我們可以獲得一些優勢，例如 Exchange、Sharepoint 等的證書，內部和外部名稱完全相同，無需購買特殊證書。

兩者的優點和缺點是什麼？這樣做時可能會出現什麼潛在問題，什麼可能是一個很大的優勢？

在過去十年中，我建構並支持了數十個 Active Directory 森林，從建構 10 使用者 SBS 伺服器到接管 50 多個 DC 的 6,000 使用者森林並重新設計整個事物。如果您計劃得當，我可以說我沒有理由不使用您的 .com 網際網路域名作為 AD 林名稱。由於 Bonjour 與較舊的 Mac OS X 版本不兼容，以及您引用的原因，微軟幾年前就停止推薦使用 .local 域。由於現在有更好的工具和管理，從 Win2000 開始，將主域作為子域來創建“無成員”根域的想法也已被淘汰。

使用 Internet 和 AD 域進行“裂腦”DNS 的原因相同：

1. 最佳理由：Web 應用程序的 URL 對使用者來說內外都是相同的（建議通過 GPO 將您的內部域名添加到 IE 內網安全區域）
2. 輕鬆使登錄和電子郵件地址相同的選項（NT4 登錄方式是域\使用者，但在現代 Windows 中也需要 username@domain.com）
3. OCS/Lync SIP 地址與電子郵件和登錄相同
4. 您可以將公共證書用於內部伺服器，而不是您的私有 CA

負面：

1. split-tunnel VPN 當您的網路外的客戶端電腦需要決定使用 website.domain.com 的公共 IP 或內部 IP 時，複雜性就會發揮作用。通常公司（為了便宜並節省頻寬）為拆分隧道設置客戶端 Windows VPN 設置，這告訴 Windows 僅將流量發送到以內部名稱/IP 為目標的 Intranet。當 DNS 可以解析網路內外相同的名稱時，它應該選擇使用哪個？Windows 將為您提供用於客戶端的 DNS 記錄（私有或公共）的混合結果。我的建議：不要在客戶端 VPN 中允許拆分隧道。

引用自：https://serverfault.com/questions/249570