Active Directory ドメインに実際のドメインを使用すると問題が発生しますか?

Question 1

私はこのアプローチが好きです...私が見つけた唯一の面倒な点は、外部 DNS (AD リンクではなくパブリックサービス用) サーバーに変更を加えた場合、内部 DNS サーバーへのエントリを変更/追加することを忘れないようにする必要があることです。

たとえば、Web サイトを別の IP アドレスに移動し、register.com (または godaddy など) でエントリを変更する場合は、ローカル DNS サーバーにアクセスして IP を変更する必要があります。

編集: MSの記事「コンピュータ、ドメイン、サイト、OU の Active Directory の命名規則「」。

その文書では、次のように述べられています。

インターネットに接続された DNS 名前空間は、インターネット DNS 名前空間のトップレベルドメインまたはセカンドレベルドメインのサブドメインである必要があります。

さらにそのドキュメントでは、corp.yourdomain.com のようなものを例として推奨しています。

Answer

私はこのアプローチが好きです...私が見つけた唯一の面倒な点は、外部 DNS (AD リンクではなくパブリックサービス用) サーバーに変更を加えた場合、内部 DNS サーバーへのエントリを変更/追加することを忘れないようにする必要があることです。

たとえば、Web サイトを別の IP アドレスに移動し、register.com (または godaddy など) でエントリを変更する場合は、ローカル DNS サーバーにアクセスして IP を変更する必要があります。

編集: MSの記事「コンピュータ、ドメイン、サイト、OU の Active Directory の命名規則「」。

その文書では、次のように述べられています。

インターネットに接続された DNS 名前空間は、インターネット DNS 名前空間のトップレベルドメインまたはセカンドレベルドメインのサブドメインである必要があります。

さらにそのドキュメントでは、corp.yourdomain.com のようなものを例として推奨しています。

Question 2

Active Directory ドメイン名に「実際のドメイン名」を使用しないでください。AdamB が「PITA 要因」として挙げた理由は、まさに使用すべきではない理由であり、単なる「PITA」ではありません。

すでに他の場所に権威のあるネームサーバーがあるドメインに対して権威のある DNS サーバーを設置するのは、よくない習慣です。これを実行すると、すぐに「すでに権威のある」名前を解決する必要があり、内部 DNS サーバーに手動でレコードを複製するという面倒な作業が発生します。

「実際の」ドメイン名と連続した名前空間が必要な場合は、「ad.company.com」のようなものを試してください。「company.com」は含めないでください。

編集：

さあ、あなたの言いたいことはわかりました。Active Directory で DNS がどのように使用されるか、よく理解する必要があります (http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx）。本当にそうですよね欲しいActive Directory の DNS をローカルでホストします。

インターネットドメイン名（メール、ウェブサイトなど）のDNSは絶対に外部でホストする必要があるただし、Active Directory ドメイン名に使用するドメイン名と同じである必要はありません (実際には同じであってはなりません)。

外部 DNS ホストは、DNS サーバーで Active Directory を適切に動作させるために必要なすべての機能をサポートしていない可能性があります。特に、動的 DNS 登録や GSSAPI ベースの安全な更新はサポートされていない可能性があります。

さらに、ドメインメンバーのクライアントコンピューターとサーバーコンピューターはすべて、ログオンやグループポリシーの適用などの基本的な操作を実行するために DNS を必要とします。インターネット接続の稼働状態とこれを結び付けたくはありません。

Active Directory 自体をホストするには、Windows Server コンピューターを使用する必要があります。これらのドメインコントローラーコンピューターを使用して Active Directory の DNS をホストし (多くの場合、他の名前の要求を ISP の DNS サーバーまたはルート DNS サーバーに転送します)、これらの DNS サーバーをすべてのドメインメンバーのクライアントおよびサーバーコンピューターの DNS サーバーとして使用するのが一般的です。

Answer

Active Directory ドメイン名に「実際のドメイン名」を使用しないでください。AdamB が「PITA 要因」として挙げた理由は、まさに使用すべきではない理由であり、単なる「PITA」ではありません。

すでに他の場所に権威のあるネームサーバーがあるドメインに対して権威のある DNS サーバーを設置するのは、よくない習慣です。これを実行すると、すぐに「すでに権威のある」名前を解決する必要があり、内部 DNS サーバーに手動でレコードを複製するという面倒な作業が発生します。

「実際の」ドメイン名と連続した名前空間が必要な場合は、「ad.company.com」のようなものを試してください。「company.com」は含めないでください。

編集：

さあ、あなたの言いたいことはわかりました。Active Directory で DNS がどのように使用されるか、よく理解する必要があります (http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx）。本当にそうですよね欲しいActive Directory の DNS をローカルでホストします。

インターネットドメイン名（メール、ウェブサイトなど）のDNSは絶対に外部でホストする必要があるただし、Active Directory ドメイン名に使用するドメイン名と同じである必要はありません (実際には同じであってはなりません)。

外部 DNS ホストは、DNS サーバーで Active Directory を適切に動作させるために必要なすべての機能をサポートしていない可能性があります。特に、動的 DNS 登録や GSSAPI ベースの安全な更新はサポートされていない可能性があります。

さらに、ドメインメンバーのクライアントコンピューターとサーバーコンピューターはすべて、ログオンやグループポリシーの適用などの基本的な操作を実行するために DNS を必要とします。インターネット接続の稼働状態とこれを結び付けたくはありません。

Active Directory 自体をホストするには、Windows Server コンピューターを使用する必要があります。これらのドメインコントローラーコンピューターを使用して Active Directory の DNS をホストし (多くの場合、他の名前の要求を ISP の DNS サーバーまたはルート DNS サーバーに転送します)、これらの DNS サーバーをすべてのドメインメンバーのクライアントおよびサーバーコンピューターの DNS サーバーとして使用するのが一般的です。

Question 3

私は、内部と外部の DNS 名が同じネットワークを引き継ぎました。これは比較的小規模な企業で、外部ホストは数個しかなかったので、私が抱えていた問題は軽微でした。内部 DNS はローカルでホストされていましたが、皆さんにも同様にすることを強くお勧めします。外部 DNS は ISP でホストされており、インターネットからアクセスする必要があるホストのレコードのみが含まれていました。私が抱えていた (軽微な) 問題は主に、インターネットからアクセス可能なホストを内部と外部の DNS の両方で確実に複製することでした。

例えば、メールホストと同様にネットワークの内外からアクセス可能であったVPNそしてwwwホストのいずれかが変更されたとき (数回変更されました)、両方の DNS サーバーが変更されたことを確認する必要がありました。

結論として、これはベストプラクティスではありません。ただし、インターネットにアクセスできるホストが少数しかない場合は、それほど大きな問題ではありません。AD DNS は、ローカルドメインコントローラーでホストする必要があります。ローカル DNS をインターネットに公開するのはおそらく避けるべきです。

Answer

私は、内部と外部の DNS 名が同じネットワークを引き継ぎました。これは比較的小規模な企業で、外部ホストは数個しかなかったので、私が抱えていた問題は軽微でした。内部 DNS はローカルでホストされていましたが、皆さんにも同様にすることを強くお勧めします。外部 DNS は ISP でホストされており、インターネットからアクセスする必要があるホストのレコードのみが含まれていました。私が抱えていた (軽微な) 問題は主に、インターネットからアクセス可能なホストを内部と外部の DNS の両方で確実に複製することでした。

例えば、メールホストと同様にネットワークの内外からアクセス可能であったVPNそしてwwwホストのいずれかが変更されたとき (数回変更されました)、両方の DNS サーバーが変更されたことを確認する必要がありました。

結論として、これはベストプラクティスではありません。ただし、インターネットにアクセスできるホストが少数しかない場合は、それほど大きな問題ではありません。AD DNS は、ローカルドメインコントローラーでホストする必要があります。ローカル DNS をインターネットに公開するのはおそらく避けるべきです。

Active Directory ドメインに実際のドメインを使用すると問題が発生しますか?

答え1

答え2

答え3

関連情報