Active Directory 拆分區域與子域域名
注意 - 我知道有很多關於 AD 命名的問題。我不相信這是一個重複的問題。如果是,請將我連結到相關的:)。
我們正在實施 AD。我們的大問題是域名。在閱讀了許多文章並與人們交談後,我們已經決定反對 .local(我們現在是 70/30 Mac)。
我們正在嘗試確定是否應該使用 ourdomain.com 或 corp.ourdomain.com 作為我們的域名。
我們已經知道,如果我們使用 ourdomain.com,如果人們不預先添加 www,我們就會遇到潛在的問題。到我們網站的 URL,我們願意接受。
我們擔心的是是否還有其他我們不知道的後果。例如,如果我們的 Exchange 伺服器託管在不屬於 LAN 的數據中心中,DNS 會不會有問題?
概述我們所擁有的 -
我們的網站託管在外部數據中心,我們目前使用 Google Apps,但計劃遷移到 Exchange(是的,我們知道這與趨勢背道而馳..),它也可能託管在數據中心或現場。
我們還廣泛使用我們的 UTM Firewalls VPN,並在擴大規模時考慮使用 Cisco VPN 或 Citrix 解決方案。
如果我們發現缺少本地 Mac 集成,還計劃建立 Windows 分佈式文件共享並可能使用 Centrify 或 Extreme-Z IP。
我們還計劃將 AD 用作我們的身份驗證主幹,將其用於 RADIUS 和 LDAP 服務,以在我們的內部 Web 應用程序和無線網路中進行身份驗證和角色管理。
我們確實閱讀了http://msmvps.com/blogs/acefekay/archive/2009/09/07/what-s-in-an-active-directory-dns-name-choosing-a-domain-name.aspx但我希望從任何精通維護 AD 的人那裡獲得更多最新資訊,尤其是在混合/分佈式環境中。
絕對沒有理由使用與您的外部面向 Web 的 DNS 區域相同的 AD 域 DNS 名稱。沒有任何。完全沒有。
Microsoft 建議使用現有域的子域,所以類似
corp.yourdomain.com
orad.mydomain.com
就可以了。如果您不希望您的使用者看到他們的登錄名是您可以在域中第一個 DC 的 DCPROMO 過程corp\user
中將域的 NetBIOS 名稱設置為。MYDOMAIN
最終結果將是您的域的 FQDN 將是corp.mydomain.com
,但您的使用者會看到mydomain\user
. 通過這種方式,您可以擁有“更漂亮”的登錄,而不會出現水平分割 DNS 的完全混亂。說真的,沒有正當理由在您的 AD 基礎架構中使用水平分割 DNS。