¿Problemas con el uso de un dominio real para el dominio de Active Directory?

Question 1

Me gusta este enfoque... El único factor PITA que he encontrado con esto es que si realiza un cambio en su servidor DNS externo (para servicios públicos, no vinculados a AD), debe recordar cambiar/agregar la entrada en su servidor DNS interno.

Entonces, por ejemplo, si mueve su sitio web a otra dirección IP y cambia su entrada con Register.com (o godaddy o donde sea), debe ingresar y cambiar la IP en su servidor DNS local.

EDITAR: encontré un artículo de MS llamado "Convenciones de nomenclatura para Active Directory para computadoras, dominios, sitios y unidades organizativas".

En ese documento dicen:

Un espacio de nombres DNS que esté conectado a Internet debe ser un subdominio de un dominio de nivel superior o de segundo nivel del espacio de nombres DNS de Internet.

Más adelante en ese documento, recomiendan algo como corp.tudominio.com como ejemplo.

Answer

Me gusta este enfoque... El único factor PITA que he encontrado con esto es que si realiza un cambio en su servidor DNS externo (para servicios públicos, no vinculados a AD), debe recordar cambiar/agregar la entrada en su servidor DNS interno.

Entonces, por ejemplo, si mueve su sitio web a otra dirección IP y cambia su entrada con Register.com (o godaddy o donde sea), debe ingresar y cambiar la IP en su servidor DNS local.

EDITAR: encontré un artículo de MS llamado "Convenciones de nomenclatura para Active Directory para computadoras, dominios, sitios y unidades organizativas".

En ese documento dicen:

Un espacio de nombres DNS que esté conectado a Internet debe ser un subdominio de un dominio de nivel superior o de segundo nivel del espacio de nombres DNS de Internet.

Más adelante en ese documento, recomiendan algo como corp.tudominio.com como ejemplo.

Question 2

No utilice su "nombre de dominio real" para un nombre de dominio de Active Directory. La razón que AdamB dio como "factor PITA" es exactamente la razón para no hacerlo, y no es solo un "factor PITA".

Es una mala práctica instalar un servidor DNS autorizado para un dominio que ya tiene servidores de nombres autorizados en otros lugares. Si lo hace, pronto querrá resolver los nombres "ya autorizados" y tendrá que duplicar registros manualmente en sus servidores DNS internos.

Si desea un espacio de nombres contiguo a su nombre de dominio "real", pruebe algo como "ad.company.com". Deje "company.com" fuera de aquí.

Editar:

Ahora creo que veo hacia dónde vas. Realmente deberías comprender cómo Active Directory utiliza DNS (http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx). Realmente lo hacesdesearpara alojar el DNS para Active Directory localmente.

El DNS de su nombre de dominio de Internet (para su correo electrónico, sitio web, etc.) es absolutamentedebe alojarse externamente, pero no tiene que ser (y realmente no debería ser) el mismo nombre de dominio que usa para su nombre de dominio de Active Directory.

Es probable que su host DNS externo no admita todas las funciones que necesita para que Active Directory funcione correctamente en sus servidores DNS. En particular, probablemente no admitirán el registro DNS dinámico ni las actualizaciones seguras basadas en GSSAPI.

Más allá de eso, todas las computadoras cliente y servidor de los miembros de su dominio necesitarán DNS para realizar cosas básicas como inicios de sesión y aplicación de políticas de grupo. ¡No querrás vincular eso a que tu conexión a Internet esté activa!

Tienes que usar una computadora con Windows Server para alojar el propio Active Directory. Es una práctica común usar también esas computadoras controladoras de dominio para alojar DNS para Active Directory (y a menudo para reenviar solicitudes de otros nombres a los servidores DNS del ISP o a los servidores DNS raíz) y usar estos servidores DNS como servidores DNS para todos los dominios. -Miembros de ordenadores cliente y servidores.

Answer

No utilice su "nombre de dominio real" para un nombre de dominio de Active Directory. La razón que AdamB dio como "factor PITA" es exactamente la razón para no hacerlo, y no es solo un "factor PITA".

Es una mala práctica instalar un servidor DNS autorizado para un dominio que ya tiene servidores de nombres autorizados en otros lugares. Si lo hace, pronto querrá resolver los nombres "ya autorizados" y tendrá que duplicar registros manualmente en sus servidores DNS internos.

Si desea un espacio de nombres contiguo a su nombre de dominio "real", pruebe algo como "ad.company.com". Deje "company.com" fuera de aquí.

Editar:

Ahora creo que veo hacia dónde vas. Realmente deberías comprender cómo Active Directory utiliza DNS (http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx). Realmente lo hacesdesearpara alojar el DNS para Active Directory localmente.

El DNS de su nombre de dominio de Internet (para su correo electrónico, sitio web, etc.) es absolutamentedebe alojarse externamente, pero no tiene que ser (y realmente no debería ser) el mismo nombre de dominio que usa para su nombre de dominio de Active Directory.

Es probable que su host DNS externo no admita todas las funciones que necesita para que Active Directory funcione correctamente en sus servidores DNS. En particular, probablemente no admitirán el registro DNS dinámico ni las actualizaciones seguras basadas en GSSAPI.

Más allá de eso, todas las computadoras cliente y servidor de los miembros de su dominio necesitarán DNS para realizar cosas básicas como inicios de sesión y aplicación de políticas de grupo. ¡No querrás vincular eso a que tu conexión a Internet esté activa!

Tienes que usar una computadora con Windows Server para alojar el propio Active Directory. Es una práctica común usar también esas computadoras controladoras de dominio para alojar DNS para Active Directory (y a menudo para reenviar solicitudes de otros nombres a los servidores DNS del ISP o a los servidores DNS raíz) y usar estos servidores DNS como servidores DNS para todos los dominios. -Miembros de ordenadores cliente y servidores.

Question 3

Heredé una red donde los nombres DNS internos y externos eran los mismos. Se trataba de una empresa relativamente pequeña, con sólo unos pocos hosts externos, por lo que los problemas que tuve fueron menores. El DNS interno estaba alojado localmente y le recomiendo encarecidamente que haga lo mismo. El DNS externo estaba alojado en un ISP y solo incluía registros de hosts a los que debían ser accesibles desde Internet. Los problemas (menores) que tuve fueron principalmente asegurarme de duplicar todos los hosts accesibles a Internet tanto en el DNS interno como en el externo.

Por ejemplo,correo.empresa.comera accesible tanto dentro como fuera de la red, al igual que los hostsVPNywww. Necesitaba asegurarme de que ambos servidores DNS cambiaran cuando cualquiera de esos hosts cambiara (lo cual hicieron varias veces).

En pocas palabras: esta no es una buena práctica. Pero si sólo tienes unos pocos hosts con acceso a Internet, no es gran cosa. Realmente debería alojar su AD DNS en sus controladores de dominio locales. Probablemente no deberías exponer tu DNS local a Internet.

Answer

Heredé una red donde los nombres DNS internos y externos eran los mismos. Se trataba de una empresa relativamente pequeña, con sólo unos pocos hosts externos, por lo que los problemas que tuve fueron menores. El DNS interno estaba alojado localmente y le recomiendo encarecidamente que haga lo mismo. El DNS externo estaba alojado en un ISP y solo incluía registros de hosts a los que debían ser accesibles desde Internet. Los problemas (menores) que tuve fueron principalmente asegurarme de duplicar todos los hosts accesibles a Internet tanto en el DNS interno como en el externo.

Por ejemplo,correo.empresa.comera accesible tanto dentro como fuera de la red, al igual que los hostsVPNywww. Necesitaba asegurarme de que ambos servidores DNS cambiaran cuando cualquiera de esos hosts cambiara (lo cual hicieron varias veces).

En pocas palabras: esta no es una buena práctica. Pero si sólo tienes unos pocos hosts con acceso a Internet, no es gran cosa. Realmente debería alojar su AD DNS en sus controladores de dominio locales. Probablemente no deberías exponer tu DNS local a Internet.

¿Problemas con el uso de un dominio real para el dominio de Active Directory?

Respuesta1

Respuesta2

Respuesta3

información relacionada