Windows Active Directory 命名最佳實踐?
這是關於 Active Directory 域命名的規範問題。
在虛擬環境中嘗試了 Windows 域和域控制器之後,我意識到擁有一個與 DNS 域同名的 Active Directory 域是個壞主意(這意味著當我們擁有域名時,將其
example.com
作為 Active Directory 名稱是不好的example.com
註冊用作我們的網站)。這個相關問題似乎支持該結論,但我仍然不確定圍繞命名 Active Directory 域還有哪些其他規則。
對於 Active Directory 名稱應該或不應該是什麼,是否有任何最佳實踐?
這是關於伺服器故障的一個有趣的討論話題。關於這個話題似乎有不同的“宗教觀點”。
我同意微軟的建議:使用公司已經註冊的網際網路域名的子域。
所以,如果你擁有
foo.com
,使用ad.foo.com
或類似的東西。在我看來,最卑鄙的事情是將已註冊的 Internet 域名逐字用於 Active Directory 域名。這會導致您被迫手動將記錄從 Internet DNS(如
www
)複製到 Active Directory DNS 區域,以允許解析“外部”名稱。我見過一些非常愚蠢的事情,比如在一個執行網站的組織中的每個 DC 上都安裝了 IIS,該網站執行重定向,這樣進入foo.com
瀏覽器的人就會被www.foo.com
這些 IIS 安裝重定向到。愚蠢至極!使用 Internet 域名不會給您帶來任何好處,但每次更改外部主機名所引用的 IP 地址時都會產生“工作”。(嘗試為外部主機使用地理負載平衡的 DNS,並將其與這種“拆分 DNS”情況集成!哎呀——那會很有趣…)
使用這樣的子域對 Exchange 電子郵件傳遞或使用者主體名稱 (UPN) 後綴(順便說一句)沒有影響。(我經常看到這兩個被引用為使用 Internet 域名作為 AD 域名的藉口。)
我也看到了“很多大公司都這樣做”的藉口。大公司可以比小公司更容易(如果不是更多的話)做出愚蠢的決定。我不會僅僅因為一家大公司做出了一個錯誤的決定而以某種方式使它成為一個好的決定。