Probleme bei der Verwendung einer echten Domäne für eine Active Directory-Domäne?

Question 1

Mir gefällt dieser Ansatz ... Der einzige PITA-Faktor, den ich dabei gefunden habe, ist, dass Sie, wenn Sie eine Änderung an Ihrem externen DNS-Server (für öffentliche Dienste, nicht AD-verknüpft) vornehmen, daran denken müssen, den Eintrag in Ihrem internen DNS-Server zu ändern/hinzuzufügen.

Wenn Sie Ihre Website beispielsweise auf eine andere IP-Adresse verschieben und Ihren Eintrag bei register.com (oder godaddy oder wo auch immer) ändern, müssen Sie die IP auf Ihrem lokalen DNS-Server ändern.

EDIT: Ich bin auf einen MS-Artikel mit dem Titel "Benennungskonventionen für Active Directory für Computer, Domänen, Standorte und Organisationseinheiten".

In diesem Dokument heißt es:

Ein mit dem Internet verbundener DNS-Namespace muss eine Subdomäne einer Top-Level- oder Second-Level-Domäne des Internet-DNS-Namespace sein.

Weiter unten in diesem Dokument wird als Beispiel etwas wie corp.yourdomain.com empfohlen.

Answer

Mir gefällt dieser Ansatz ... Der einzige PITA-Faktor, den ich dabei gefunden habe, ist, dass Sie, wenn Sie eine Änderung an Ihrem externen DNS-Server (für öffentliche Dienste, nicht AD-verknüpft) vornehmen, daran denken müssen, den Eintrag in Ihrem internen DNS-Server zu ändern/hinzuzufügen.

Wenn Sie Ihre Website beispielsweise auf eine andere IP-Adresse verschieben und Ihren Eintrag bei register.com (oder godaddy oder wo auch immer) ändern, müssen Sie die IP auf Ihrem lokalen DNS-Server ändern.

EDIT: Ich bin auf einen MS-Artikel mit dem Titel "Benennungskonventionen für Active Directory für Computer, Domänen, Standorte und Organisationseinheiten".

In diesem Dokument heißt es:

Ein mit dem Internet verbundener DNS-Namespace muss eine Subdomäne einer Top-Level- oder Second-Level-Domäne des Internet-DNS-Namespace sein.

Weiter unten in diesem Dokument wird als Beispiel etwas wie corp.yourdomain.com empfohlen.

Question 2

Verwenden Sie Ihren „echten Domänennamen“ nicht als Active Directory-Domänennamen. Der von AdamB als „PITA-Faktor“ angegebene Grund ist genau der Grund, dies nicht zu tun, und es ist nicht nur ein „PITA“.

Es ist keine gute Praxis, einen DNS-Server einzurichten, der für eine Domäne autorisierend ist, die bereits anderswo autoritative Nameserver hat. Wenn Sie das tun, möchten Sie bald die „bereits autoritativen“ Namen auflösen und haben ein Durcheinander, wenn Sie Datensätze manuell in Ihre internen DNS-Server duplizieren müssen.

Wenn Sie einen Namespace wünschen, der an Ihren „echten“ Domänennamen angrenzt, versuchen Sie es mit etwas wie „ad.company.com“. Lassen Sie „company.com“ weg.

Bearbeiten:

Jetzt glaube ich zu verstehen, worauf Sie hinauswollen. Sie sollten sich wirklich darüber informieren, wie DNS von Active Directory verwendet wird (http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx). Das tust du wirklichwollenum den DNS für Active Directory lokal zu hosten!

Der DNS für Ihren Internet-Domänennamen (für Ihre E-Mail, Website usw.) unbedingtsollte extern gehostet werden, aber das muss (und sollte wirklich nicht) derselbe Domänenname sein, den Sie für Ihren Active Directory-Domänennamen verwenden.

Ihr externer DNS-Host unterstützt wahrscheinlich nicht alle Funktionen, die Sie benötigen, damit Active Directory auf seinen DNS-Servern ordnungsgemäß funktioniert. Insbesondere unterstützt er wahrscheinlich keine dynamische DNS-Registrierung oder GSSAPI-basierte sichere Updates.

Darüber hinaus benötigen alle Client- und Servercomputer Ihrer Domäne DNS für grundlegende Aufgaben wie Anmeldungen und die Anwendung von Gruppenrichtlinien. Sie möchten dies nicht davon abhängig machen, dass Ihre Internetverbindung aktiv ist!

Sie müssen einen Windows Server-Computer verwenden, um Active Directory selbst zu hosten. Es ist üblich, diese Domänencontroller-Computer auch zu verwenden, um DNS für Active Directory zu hosten (und häufig, um Anfragen für andere Namen an die DNS-Server des ISPs oder die Stamm-DNS-Server weiterzuleiten) und diese DNS-Server als DNS-Server für alle Client- und Server-Computer zu verwenden, die Mitglieder der Domäne sind.

Answer

Verwenden Sie Ihren „echten Domänennamen“ nicht als Active Directory-Domänennamen. Der von AdamB als „PITA-Faktor“ angegebene Grund ist genau der Grund, dies nicht zu tun, und es ist nicht nur ein „PITA“.

Es ist keine gute Praxis, einen DNS-Server einzurichten, der für eine Domäne autorisierend ist, die bereits anderswo autoritative Nameserver hat. Wenn Sie das tun, möchten Sie bald die „bereits autoritativen“ Namen auflösen und haben ein Durcheinander, wenn Sie Datensätze manuell in Ihre internen DNS-Server duplizieren müssen.

Wenn Sie einen Namespace wünschen, der an Ihren „echten“ Domänennamen angrenzt, versuchen Sie es mit etwas wie „ad.company.com“. Lassen Sie „company.com“ weg.

Bearbeiten:

Jetzt glaube ich zu verstehen, worauf Sie hinauswollen. Sie sollten sich wirklich darüber informieren, wie DNS von Active Directory verwendet wird (http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx). Das tust du wirklichwollenum den DNS für Active Directory lokal zu hosten!

Der DNS für Ihren Internet-Domänennamen (für Ihre E-Mail, Website usw.) unbedingtsollte extern gehostet werden, aber das muss (und sollte wirklich nicht) derselbe Domänenname sein, den Sie für Ihren Active Directory-Domänennamen verwenden.

Ihr externer DNS-Host unterstützt wahrscheinlich nicht alle Funktionen, die Sie benötigen, damit Active Directory auf seinen DNS-Servern ordnungsgemäß funktioniert. Insbesondere unterstützt er wahrscheinlich keine dynamische DNS-Registrierung oder GSSAPI-basierte sichere Updates.

Darüber hinaus benötigen alle Client- und Servercomputer Ihrer Domäne DNS für grundlegende Aufgaben wie Anmeldungen und die Anwendung von Gruppenrichtlinien. Sie möchten dies nicht davon abhängig machen, dass Ihre Internetverbindung aktiv ist!

Sie müssen einen Windows Server-Computer verwenden, um Active Directory selbst zu hosten. Es ist üblich, diese Domänencontroller-Computer auch zu verwenden, um DNS für Active Directory zu hosten (und häufig, um Anfragen für andere Namen an die DNS-Server des ISPs oder die Stamm-DNS-Server weiterzuleiten) und diese DNS-Server als DNS-Server für alle Client- und Server-Computer zu verwenden, die Mitglieder der Domäne sind.

Question 3

Ich habe ein Netzwerk übernommen, in dem die internen und externen DNS-Namen identisch waren. Dies war ein relativ kleines Unternehmen mit nur wenigen externen Hosts, sodass die Probleme, die ich hatte, gering waren. Der interne DNS wurde lokal gehostet, und ich würde Ihnen dringend empfehlen, dasselbe zu tun. Der externe DNS wurde bei einem ISP gehostet und enthielt nur Einträge für Hosts, die vom Internet aus zugänglich sein mussten. Die (geringfügigen) Probleme, die ich hatte, bestanden hauptsächlich darin, sicherzustellen, dass ich alle über das Internet erreichbaren Hosts sowohl im internen als auch im externen DNS duplizierte.

Zum Beispiel,mail.company.comwar sowohl innerhalb als auch außerhalb des Netzwerks erreichbar, ebenso wie die HostsVPNUndwww. Ich musste sicherstellen, dass beide DNS-Server geändert wurden, wenn sich einer dieser Hosts änderte (was einige Male passierte).

Fazit: Dies ist keine optimale Vorgehensweise. Aber wenn Sie nur wenige über das Internet erreichbare Hosts haben, ist das kein großes Problem. Sie sollten Ihren AD DNS unbedingt auf Ihren lokalen Domänencontrollern hosten. Sie sollten Ihren lokalen DNS wahrscheinlich nicht dem Internet aussetzen.

Answer

Ich habe ein Netzwerk übernommen, in dem die internen und externen DNS-Namen identisch waren. Dies war ein relativ kleines Unternehmen mit nur wenigen externen Hosts, sodass die Probleme, die ich hatte, gering waren. Der interne DNS wurde lokal gehostet, und ich würde Ihnen dringend empfehlen, dasselbe zu tun. Der externe DNS wurde bei einem ISP gehostet und enthielt nur Einträge für Hosts, die vom Internet aus zugänglich sein mussten. Die (geringfügigen) Probleme, die ich hatte, bestanden hauptsächlich darin, sicherzustellen, dass ich alle über das Internet erreichbaren Hosts sowohl im internen als auch im externen DNS duplizierte.

Zum Beispiel,mail.company.comwar sowohl innerhalb als auch außerhalb des Netzwerks erreichbar, ebenso wie die HostsVPNUndwww. Ich musste sicherstellen, dass beide DNS-Server geändert wurden, wenn sich einer dieser Hosts änderte (was einige Male passierte).

Fazit: Dies ist keine optimale Vorgehensweise. Aber wenn Sie nur wenige über das Internet erreichbare Hosts haben, ist das kein großes Problem. Sie sollten Ihren AD DNS unbedingt auf Ihren lokalen Domänencontrollern hosten. Sie sollten Ihren lokalen DNS wahrscheinlich nicht dem Internet aussetzen.

Probleme bei der Verwendung einer echten Domäne für eine Active Directory-Domäne?

Antwort1

Antwort2

Antwort3

verwandte Informationen