题 Windows Active Directory命名最佳实践?


这是一个 典型问题 关于Active Directory域命名。

在虚拟环境中尝试使用Windows域和域控制器后,我意识到拥有一个与DNS域名相同的活动目录域是个坏主意(意味着拥有 example.com 作为Active Directory名称,当我们拥有时,它并不好 example.com 域名注册用作我们的网站)。

这个相关问题似乎支持这一结论,但我仍然不确定有关命名Active Directory域的其他规则。

有关Active Directory名称应该或不应该是什么的最佳实践吗?


80
2017-10-21 13:10






答案:


这是关于服务器故障讨论的有趣话题。关于这个话题似乎有不同的“宗教观点”。

我同意微软的建议:使用公司已注册的Internet域名的子域。

所以,如果你拥有 foo.com, 使用 ad.foo.com 或者其他一些。

我认为,最卑鄙的事情是使用已注册的Internet域名(逐字)作为Active Directory域名。这会导致您被迫从Internet DNS手动复制记录(如 www)进入Active Directory DNS区域以允许“外部”名称解析。我已经看到在运行网站的组织中的每个DC上都安装了非常愚蠢的IIS,它会进行重定向以便有人进入 foo.com 进入他们的浏览器将被重定向到 www.foo.com 通过这些IIS安装。愚蠢!

使用Internet域名没有任何优势,但每次更改外部主机名所引用的IP地址时都会创建“make work”。 (尝试使用地理上负载均衡的DNS作为外部主机,并将其与这种“拆分DNS”情况集成在一起!哎呀 - 那会很有趣......)

使用这样的子域对Exchange电子邮件传递或用户主体名称(UPN)后缀BTW等内容没有影响。 (我经常看到这些都被认为是使用互联网域名作为AD域名的借口。)

我也看到了“许多大公司都这样做”的借口。与小公司相比,大公司可以轻松(如果不是更多)做出愚蠢的决定。我之所以不买,只是因为一家大公司做出了错误的决定,以某种方式使其成为一个好的决定。


94
2017-10-21 13:16



但是域名的NetBIOS名称不是......好吧,漂亮:) corp 不像描述那样 foo。 - Anton Gogolev
但是,您可以指定所需的任何NetBIOS名称。我的许多客户都有“ad.example.com”之类的名称,但NetBIOS名称是“EXAMPLE”。 DCPROMO将提示您在创建域期间所需的NetBIOS名称。 - Evan Anderson
如果这样做,请注意具有通配符的域的问题。当你有* .foo.com时,host.internal.foo.com会在某些情况下匹配它 - JamesRyan
我不知道有任何电子邮件服务器产品要求您使用AD域名作为用户的电子邮件地址后缀。交换了 决不 需要AD域名和电子邮件地址后缀之间的任何关联。 - Evan Anderson
Office365仅要求您的用户使用与您的租户域匹配的后缀登录其UPN。由于默认的Exchange邮箱地址策略可以定义为任何内容,因此您的UPN后缀也是如此,这是微不足道的。我们将EXAMPLE.COM作为我们的公司名称(以及Office365中的租户),EXAMPLE.NET(也已注册)作为林,CORP.EXAMPLE.NET作为主要帐户域(与其他区域子域,例如EU.EXAMPLE)。 NET)使用EXAMPLE作为NetBIOS名称,林Exchange组织中的所有用户都使用Name@EXAMPLE.COM进行UPN和电子邮件。 Office365对此非常满意。 - Ryan Fisher


这个问题只有两个正确的答案。

  1. 您公开使用的域的未使用子域。例如,如果您的公共网站存在 example.com 您的内部AD可能会被命名为 ad.example.com 要么 internal.example.com

  2. 未使用的二级域名 你拥有的 并且不要在其他地方使用。例如,如果您的公共网站存在 example.com 您的AD可能会被命名 example.net  只要你注册了 example.net 并且不要在其他任何地方使用它!

这是你唯一的两个选择。如果你做了其他事情,你会让自己受到很多痛苦和痛苦。


但每个人都使用.local!
无所谓。你不应该。 我发表过关于使用.local和其他组成的顶级域名(如.lan和.corp)的博文。在任何情况下你都不应该这样做。

它并不安全。这不像某些人声称的那样是“最佳实践”。它没有 任何 受益于我提出的两个选择。

但是我想把它命名为我公共网站的URL,这样我的用户就可以了 example\user 代替 ad\user
这是一个有效但误导的问题。当您在域中提升第一个DC时,可以将域的NetBIOS名称设置为您想要的任何名称。如果您遵循我的建议并设置您的域名 ad.example.com,您可以配置域的NetBIOS名称 example 这样您的用户就可以登录 example\user

在Active Directory林和信任中,您还可以创建其他UPN后缀。没有什么能阻止您创建和设置@ example.com作为域中所有帐户的主要UPN后缀。当您将此与之前的NetBIOS建议结合使用时,最终用户将看不到您的域的FQDN ad.example.com。他们看到的一切都将是 example\ 要么 @example.com。唯一需要使用FQDN的人是使用Active Directory的系统管理员。

此外,假设您使用水平分割DNS命名空间,这意味着您的AD名称与面向公众的网站相同。现在,您的用户无法访问 example.com 除非你有前缀,否则在内部 www. 在他们的浏览器中或您在所有域控制器上运行IIS(这很糟糕)。你也必须策划  共享脱节命名空间的不同DNS区域。这真的比它的价值更麻烦。现在想象一下,您与另一家公司建立了合作伙伴关系,他们还拥有一个具有AD及其外部存在的水平分配DNS配置。您在两者之间有专用光纤链接,您需要创建信任。现在,您到任何公共站点的所有流量都必须遍历私有链接,而不是仅仅通过Internet传输。它还会为双方的网络管理员带来各种麻烦。避免这样做。相信我。

但是......但是......
说真的,没有理由不使用我建议的两件事之一。任何其他方式都有陷阱。我并没有告诉你急于改变你的域名,如果它的功能和位置,但如果你正在创建一个新的AD,请做我上面推荐的两件事之一。


87
2018-01-29 16:18



一个小点 - 人们可以使用比IIS更小,更快和更安全的东西来提供重定向。即使是haproxy或者nginx也可能有点过分 - 更不用说像apache2这样功能齐全的服务器了。 - OrangeDog
这是事实,但是 所有 这是草率和不必要的。 - MDMarra
Uuuuw是的,当有人突然注册域local.net并且在那个日期之前默默地得到NXDOMAIN的所有打印机突然没有回答时,真是太痛苦了。这是一个有趣的调查...... - Johannes
我可以注意到.local没有“弥补”它实际上是保留的;只是不适合这种用途: en.wikipedia.org/wiki/.local - mikebabcock
在写这篇文章的时候,并没有保留。 - MDMarra


为了帮助MDMarra的答案:

你应该 切勿使用单标签DNS名称 为您的域名。这是在Windows 2008 R2之前可用的。原因/解释可以在这里找到: 部署和操作使用单标签DNS名称配置的Active Directory域Microsoft支持

不要忘记不使用保留字 (表格包含在本文底部的“命名约定”链接中),例如SYSTEM或WORLD或RESTRICTED。

我也同意微软的意见,你应该遵循两个额外的规则(不是一成不变的,但仍然是):

  1. 您不应该根据会改变或过时的内容来命名您的域名。示例包括在产品线,操作系统或可能随时间变化的任何其他内容之后命名您的域。坚持使用地理或具体的东西,以便在未来5年甚至10年内有意义。
  2. 坚持使用15个字符或更短的短名称,这将允许NETBIOS名称轻松与域名相同。

最后,我建议您尽可能长期考虑。公司确实经历了兼并和收购,甚至是小公司。在获得外界帮助/咨询方面也要考虑。使用域名,AD结构等,可以在SF上向顾问或人员解释,而不需要太多努力。

知识链接:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

Microsoft针对根目录林域名的当前(W2k12)推荐页面


33
2018-01-29 16:35





我不同意使用:

  • example.com - 由于其他答案中已经说明的原因

我可以接受使用:

  • ad.example.com - - 原因已在其他答案中说明

但我不会自己做或推荐它。在公司收购期间,重塑品牌的所有地狱都会破裂,尤其是当管理层希望立即改变时。重命名迁移,更改非常困难或昂贵。

我建议的最佳方式是购买与公司名称无关且与公司品牌无关的域名。 SIMPLE.CLOUD 或类似的应该做得很好 只要你拥有它。 

我见过有15万用户使用AD的大公司,他们仍然引用他们多年前购买的旧公司,或者更改名称的公司,即使从长远来看你使用\登录无关紧要(如果你不能使用UPN)它在管理层面前仍然看起来很糟糕,他们不明白为什么改变它并不是一件容易的事。


1
2017-10-27 15:33





我经常做 mydomain.local

local 不是有效的TLD,因此它永远不会与实际的公共DNS条目竞争。

例如,我喜欢能够知道这一点 web1.mydomain.local 将解析为Web服务器的内部IP web1.mydomain.com 将解析为外部IP。


-14
2017-09-23 20:03



FWIW, .local 在根L服务器上查询锤子  - 我看了~~800 /秒。 - jscott
dot.Local,AKA dot.Fail - PnP
使用无效的TLD(或未注册的域名)不是最佳做法,出于上述所有原因,这是最糟糕的做法。我承认我曾经使用过.local,但那是在我知道之前。 - Jonathan J