命名新的 Active Directory 林 - 為什麼不推薦水平分割 DNS?
希望我們都知道命名 Active Directory 林的建議是什麼,而且它們非常簡單。也就是說,可以用一句話概括。
使用現有註冊域名的子域,並選擇一個不會在外部使用的子域。 例如,如果我要合併和註冊
hopelessn00b.com域,我的內部 AD 林應該命名為internal.hopelessn00b.comorad.hopelessn00b.com或corp.hopelessn00b.com。避免使用“假” tlds或單標籤域名有非常令人信服的理由,但我很難找到類似的令人信服的理由來避免使用根域 (
hopelessn00b.com) 作為我的域名並使用子域,corp.hopelessn00b.com例如. 真的,我似乎能找到的唯一理由是,從內部訪問外部網站需要A nameDNS 記錄並www.在瀏覽器中輸入網站名稱的前面,就問題而言,這非常“meh”。那麼,我錯過了什麼?
ad.hopelessn00b.com為什麼將其用作我的 Active Directory 林名要好得多hopelessn00b.com?只是為了記錄,真正需要說服的是我的雇主 - 老闆正在兜售,在讓我繼續創建一個以
corp.hopelessn00b'semployer.com我們內部網路命名的新 AD 森林之後,他想堅持使用一個名為hopelessn00b'semployer.com(與我們的外部註冊域相同)。我希望我能得到一些令人信服的理由或最佳實踐是更好的選擇的理由,所以我可以說服他……因為這似乎比憤怒辭職和/或找新工作更容易,至少對於此時此刻。目前,“微軟最佳實踐”和內部訪問我們公司的公共網站似乎並沒有削減它,我真的,真的,真的希望這裡有人有更令人信服的東西。
有這麼多的代表。來找我寶貝。
好的,所以微軟已經很好地記錄了你不應該使用水平分割,或者你已經連結過很多次的虛構的頂級域名(大聲喊出我的部落格!)。這有幾個原因。
www您在上面指出的問題。煩人,但不會破壞交易。- 它迫使您維護所有面向公眾的伺服器的重複記錄,這些伺服器也可在內部訪問,而不僅僅是
www.mail.hopelessnoob.com是一個常見的例子。在理想情況下,您將擁有一個單獨的外圍網路,用於諸如mail.hopelessnoob.com或之類的東西publicwebservice.hopelessnoob.com。對於某些配置,例如具有內部和外部介面的 ASA,您要麼需要內部 NAT 或水平分割 DNS *,*但對於具有合法外圍網路且面向 Web 的資源不在髮夾式 NAT 邊界之後的大型組織 -這會導致不必要的工作。- 想像一下這個場景——你在
hopelessnoob.com內部和外部。您有一家與您合作的公司,example.com他們做同樣的事情 - 在內部使用他們的 AD 和他們的可公開訪問的 DNS 名稱空間進行水平分割。現在,您配置了一個站點到站點的 VPN,並希望信任的內部身份驗證能夠遍歷隧道,同時可以訪問其外部公共資源以通過 Internet 發送出去。如果沒有令人難以置信的複雜策略路由或持有您自己的內部 DNS 區域副本,這幾乎是不可能的 - 現在您剛剛創建了一組額外的 DNS 記錄來維護。所以你必須在你的最後處理髮夾*,*他們的目的,策略路由/NAT,以及其他各種詭計。(我實際上是在這種情況下繼承了一個廣告)。- 如果您曾經部署過DirectAccess,它會極大地簡化您的名稱解析策略——其他拆分隧道 VPN 技術可能也是如此。
其中一些是邊緣情況,有些不是,但它們都很容易避免。如果您從一開始就有能力做到這一點,那麼不妨以正確的方式做到這一點,這樣您就不會在十年內遇到其中之一。