Active Directory 도메인에 실제 도메인을 사용할 때 문제가 있습니까?

Question 1

나는 이 접근 방식을 좋아합니다...이것에서 제가 찾은 유일한 PITA 요소는 외부 DNS(AD 연결이 아닌 공용 서비스의 경우) 서버를 변경하는 경우 항목을 변경/추가해야 한다는 것입니다. 내부 DNS 서버.

예를 들어, 웹사이트를 다른 IP 주소로 이동하고 Register.com(또는 godaddy 등)에서 항목을 변경하는 경우 로컬 DNS 서버에 들어가서 IP를 변경해야 합니다.

편집: "라는 MS 기사를 발견했습니다.컴퓨터, 도메인, 사이트 및 OU에 대한 Active Directory의 명명 규칙".

그 문서에서 그들은 이렇게 말합니다.

인터넷에 연결되는 DNS 네임스페이스는 인터넷 DNS 네임스페이스의 최상위 또는 두 번째 수준 도메인의 하위 도메인이어야 합니다.

또한 해당 문서에서는 corp.yourdomain.com과 같은 것을 예로 추천합니다.

Answer

나는 이 접근 방식을 좋아합니다...이것에서 제가 찾은 유일한 PITA 요소는 외부 DNS(AD 연결이 아닌 공용 서비스의 경우) 서버를 변경하는 경우 항목을 변경/추가해야 한다는 것입니다. 내부 DNS 서버.

예를 들어, 웹사이트를 다른 IP 주소로 이동하고 Register.com(또는 godaddy 등)에서 항목을 변경하는 경우 로컬 DNS 서버에 들어가서 IP를 변경해야 합니다.

편집: "라는 MS 기사를 발견했습니다.컴퓨터, 도메인, 사이트 및 OU에 대한 Active Directory의 명명 규칙".

그 문서에서 그들은 이렇게 말합니다.

인터넷에 연결되는 DNS 네임스페이스는 인터넷 DNS 네임스페이스의 최상위 또는 두 번째 수준 도메인의 하위 도메인이어야 합니다.

또한 해당 문서에서는 corp.yourdomain.com과 같은 것을 예로 추천합니다.

Question 2

Active Directory 도메인 이름에 "실제 도메인 이름"을 사용하지 마십시오. AdamB가 "PITA 요소"로 제시한 이유는 바로 그렇지 않은 이유이며, 단순한 "PITA"가 아닙니다.

이미 다른 곳에 권한 있는 네임서버가 있는 도메인에 대해 권한 있는 DNS 서버를 설치하는 것은 나쁜 습관입니다. 그렇게 하면 곧 "이미 권한이 있는" 이름을 확인하고 내부 DNS 서버에 레코드를 수동으로 복제해야 하는 혼란을 겪게 될 것입니다.

"실제" 도메인 이름과 연속된 네임스페이스를 원하는 경우 "ad.company.com"과 같은 이름을 사용해 보세요. "company.com"은 제외하세요.

편집하다:

이제 당신이 어디로 가는지 알 것 같습니다. Active Directory에서 DNS를 사용하는 방법을 실제로 이해해야 합니다(http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx). 정말 그렇군요원하다Active Directory용 DNS를 로컬로 호스팅하려면!

인터넷 도메인 이름(이메일, 웹사이트 등)의 DNS는 절대적입니다.외부에서 호스팅되어야 함하지만 Active Directory 도메인 이름에 사용하는 도메인 이름과 동일할 필요는 없습니다(실제로는 그래서는 안 됩니다).

외부 DNS 호스트는 DNS 서버에서 Active Directory가 제대로 작동하도록 하는 데 필요한 모든 기능을 지원하지 않을 가능성이 높습니다. 특히 동적 DNS 등록이나 GSSAPI 기반 보안 업데이트를 지원하지 않을 가능성이 높습니다.

그 외에도 모든 도메인 구성원 클라이언트 및 서버 컴퓨터는 로그온 및 그룹 정책 적용과 같은 기본적인 작업을 수행하기 위해 DNS가 필요합니다. 당신은 그것을 인터넷 연결과 연결시키고 싶지 않습니다!

Active Directory 자체를 호스팅하려면 Windows Server 컴퓨터를 사용해야 합니다. 이러한 도메인 컨트롤러 컴퓨터를 사용하여 Active Directory에 대한 DNS를 호스팅하고(종종 다른 이름에 대한 요청을 ISP의 DNS 서버 또는 루트 DNS 서버에 전달하기 위해) 이러한 DNS 서버를 모든 도메인에 대한 DNS 서버로 사용하는 것이 일반적인 관행입니다. -멤버 클라이언트 및 서버 컴퓨터.

Answer

Active Directory 도메인 이름에 "실제 도메인 이름"을 사용하지 마십시오. AdamB가 "PITA 요소"로 제시한 이유는 바로 그렇지 않은 이유이며, 단순한 "PITA"가 아닙니다.

이미 다른 곳에 권한 있는 네임서버가 있는 도메인에 대해 권한 있는 DNS 서버를 설치하는 것은 나쁜 습관입니다. 그렇게 하면 곧 "이미 권한이 있는" 이름을 확인하고 내부 DNS 서버에 레코드를 수동으로 복제해야 하는 혼란을 겪게 될 것입니다.

"실제" 도메인 이름과 연속된 네임스페이스를 원하는 경우 "ad.company.com"과 같은 이름을 사용해 보세요. "company.com"은 제외하세요.

편집하다:

이제 당신이 어디로 가는지 알 것 같습니다. Active Directory에서 DNS를 사용하는 방법을 실제로 이해해야 합니다(http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx). 정말 그렇군요원하다Active Directory용 DNS를 로컬로 호스팅하려면!

인터넷 도메인 이름(이메일, 웹사이트 등)의 DNS는 절대적입니다.외부에서 호스팅되어야 함하지만 Active Directory 도메인 이름에 사용하는 도메인 이름과 동일할 필요는 없습니다(실제로는 그래서는 안 됩니다).

외부 DNS 호스트는 DNS 서버에서 Active Directory가 제대로 작동하도록 하는 데 필요한 모든 기능을 지원하지 않을 가능성이 높습니다. 특히 동적 DNS 등록이나 GSSAPI 기반 보안 업데이트를 지원하지 않을 가능성이 높습니다.

그 외에도 모든 도메인 구성원 클라이언트 및 서버 컴퓨터는 로그온 및 그룹 정책 적용과 같은 기본적인 작업을 수행하기 위해 DNS가 필요합니다. 당신은 그것을 인터넷 연결과 연결시키고 싶지 않습니다!

Active Directory 자체를 호스팅하려면 Windows Server 컴퓨터를 사용해야 합니다. 이러한 도메인 컨트롤러 컴퓨터를 사용하여 Active Directory에 대한 DNS를 호스팅하고(종종 다른 이름에 대한 요청을 ISP의 DNS 서버 또는 루트 DNS 서버에 전달하기 위해) 이러한 DNS 서버를 모든 도메인에 대한 DNS 서버로 사용하는 것이 일반적인 관행입니다. -멤버 클라이언트 및 서버 컴퓨터.

Question 3

내부 및 외부 DNS 이름이 동일한 네트워크를 상속받았습니다. 이 회사는 외부 호스트가 몇 명밖에 없는 비교적 소규모 기업이었기 때문에 제가 겪었던 문제는 사소했습니다. 내부 DNS는 로컬로 호스팅되었으므로 여러분도 그렇게 하시길 강력히 권장합니다. 외부 DNS는 ISP에서 호스팅되었으며 인터넷에서 액세스해야 하는 호스트에 대한 레코드만 포함했습니다. 내가 겪었던 (사소한) 문제는 주로 내부 및 외부 DNS 모두에서 인터넷에 액세스할 수 있는 호스트를 복제했는지 확인하는 것이었습니다.

예를 들어,mail.company.com호스트와 마찬가지로 네트워크 내부와 외부 모두에 액세스할 수 있었습니다.VPN그리고www. 해당 호스트 중 하나가 변경되면 두 DNS 서버가 모두 변경되었는지 확인해야 했습니다(몇 번 수행함).

결론 - 이는 모범 사례가 아닙니다. 그러나 인터넷에 액세스할 수 있는 호스트가 몇 대밖에 없다면 그다지 큰 문제는 아닙니다. 실제로 로컬 도메인 컨트롤러에서 AD DNS를 호스팅해야 합니다. 로컬 DNS를 인터넷에 노출해서는 안 됩니다.

Answer

내부 및 외부 DNS 이름이 동일한 네트워크를 상속받았습니다. 이 회사는 외부 호스트가 몇 명밖에 없는 비교적 소규모 기업이었기 때문에 제가 겪었던 문제는 사소했습니다. 내부 DNS는 로컬로 호스팅되었으므로 여러분도 그렇게 하시길 강력히 권장합니다. 외부 DNS는 ISP에서 호스팅되었으며 인터넷에서 액세스해야 하는 호스트에 대한 레코드만 포함했습니다. 내가 겪었던 (사소한) 문제는 주로 내부 및 외부 DNS 모두에서 인터넷에 액세스할 수 있는 호스트를 복제했는지 확인하는 것이었습니다.

예를 들어,mail.company.com호스트와 마찬가지로 네트워크 내부와 외부 모두에 액세스할 수 있었습니다.VPN그리고www. 해당 호스트 중 하나가 변경되면 두 DNS 서버가 모두 변경되었는지 확인해야 했습니다(몇 번 수행함).

결론 - 이는 모범 사례가 아닙니다. 그러나 인터넷에 액세스할 수 있는 호스트가 몇 대밖에 없다면 그다지 큰 문제는 아닙니다. 실제로 로컬 도메인 컨트롤러에서 AD DNS를 호스팅해야 합니다. 로컬 DNS를 인터넷에 노출해서는 안 됩니다.

Active Directory 도메인에 실제 도메인을 사용할 때 문제가 있습니까?

답변1

답변2

답변3

관련 정보