Problemas com o uso de domínio real para domínio do Active Directory?

Question 1

Eu gosto dessa abordagem ... O único fator PITA que descobri é que se você fizer uma alteração em seu servidor DNS externo (para serviços públicos, não vinculados ao AD), lembre-se de alterar/adicionar a entrada em seu servidor DNS interno.

Então, por exemplo, se você mover seu site para outro endereço IP e alterar sua entrada com register.com (ou godaddy ou qualquer outro lugar), você terá que entrar e alterar o IP em seu servidor DNS local.

EDIT: me deparei com um artigo da MS chamado "Convenções de nomenclatura do Active Directory para computadores, domínios, sites e unidades organizacionais".

Nesse documento, eles dizem:

Um namespace DNS conectado à Internet deve ser um subdomínio de um domínio de nível superior ou de segundo nível do namespace DNS da Internet.

Mais adiante nesse documento, eles recomendam algo como corp.seudominio.com como exemplo.

Answer

Eu gosto dessa abordagem ... O único fator PITA que descobri é que se você fizer uma alteração em seu servidor DNS externo (para serviços públicos, não vinculados ao AD), lembre-se de alterar/adicionar a entrada em seu servidor DNS interno.

Então, por exemplo, se você mover seu site para outro endereço IP e alterar sua entrada com register.com (ou godaddy ou qualquer outro lugar), você terá que entrar e alterar o IP em seu servidor DNS local.

EDIT: me deparei com um artigo da MS chamado "Convenções de nomenclatura do Active Directory para computadores, domínios, sites e unidades organizacionais".

Nesse documento, eles dizem:

Um namespace DNS conectado à Internet deve ser um subdomínio de um domínio de nível superior ou de segundo nível do namespace DNS da Internet.

Mais adiante nesse documento, eles recomendam algo como corp.seudominio.com como exemplo.

Question 2

Não use seu “nome de domínio real” para um nome de domínio do Active Directory. A razão que AdamB deu como um "fator PITA" é exatamente a razão para não fazê-lo, e não é apenas um "fator PITA".

É uma má prática instalar um servidor DNS com autoridade para um domínio que já possui servidores de nomes com autoridade em outro lugar. Se você fizer isso, em breve você desejará resolver os nomes "já autorizados" e terá uma confusão de duplicação manual de registros em seus servidores DNS internos.

Se você deseja um namespace contíguo ao seu nome de domínio “real”, tente algo como “ad.company.com”. Deixe "company.com" fora disso.

Editar:

Agora acho que vejo onde você está indo. Você deve realmente saber como o DNS é usado pelo Active Directory (http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx). Você realmente fazquererpara hospedar o DNS do Active Directory localmente!

O DNS do seu nome de domínio da Internet (para seu e-mail, site, etc.) absolutamentedeve ser hospedado externamente, mas não precisa ser (e realmente não deveria ser) o mesmo nome de domínio que você usa para o nome de domínio do Active Directory.

Seu host DNS externo provavelmente não oferecerá suporte a todos os recursos necessários para que o Active Directory funcione corretamente em seus servidores DNS. Em particular, eles provavelmente não suportarão registro DNS dinâmico ou atualizações seguras baseadas em GSSAPI.

Além disso, todos os computadores clientes e servidores membros do domínio precisarão do DNS para fazer coisas básicas, como logons e aplicação de política de grupo. Você não quer vincular isso ao fato de sua conexão com a Internet estar ativa!

Você precisa usar um computador Windows Server para hospedar o próprio Active Directory. É prática comum também usar esses computadores controladores de domínio para hospedar DNS para o Active Directory (e muitas vezes para encaminhar solicitações de outros nomes para os servidores DNS do ISP ou servidores DNS raiz) e usar esses servidores DNS como servidores DNS para todos os domínios. -membros de computadores clientes e servidores.

Answer

Não use seu “nome de domínio real” para um nome de domínio do Active Directory. A razão que AdamB deu como um "fator PITA" é exatamente a razão para não fazê-lo, e não é apenas um "fator PITA".

É uma má prática instalar um servidor DNS com autoridade para um domínio que já possui servidores de nomes com autoridade em outro lugar. Se você fizer isso, em breve você desejará resolver os nomes "já autorizados" e terá uma confusão de duplicação manual de registros em seus servidores DNS internos.

Se você deseja um namespace contíguo ao seu nome de domínio “real”, tente algo como “ad.company.com”. Deixe "company.com" fora disso.

Editar:

Agora acho que vejo onde você está indo. Você deve realmente saber como o DNS é usado pelo Active Directory (http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx). Você realmente fazquererpara hospedar o DNS do Active Directory localmente!

O DNS do seu nome de domínio da Internet (para seu e-mail, site, etc.) absolutamentedeve ser hospedado externamente, mas não precisa ser (e realmente não deveria ser) o mesmo nome de domínio que você usa para o nome de domínio do Active Directory.

Seu host DNS externo provavelmente não oferecerá suporte a todos os recursos necessários para que o Active Directory funcione corretamente em seus servidores DNS. Em particular, eles provavelmente não suportarão registro DNS dinâmico ou atualizações seguras baseadas em GSSAPI.

Além disso, todos os computadores clientes e servidores membros do domínio precisarão do DNS para fazer coisas básicas, como logons e aplicação de política de grupo. Você não quer vincular isso ao fato de sua conexão com a Internet estar ativa!

Você precisa usar um computador Windows Server para hospedar o próprio Active Directory. É prática comum também usar esses computadores controladores de domínio para hospedar DNS para o Active Directory (e muitas vezes para encaminhar solicitações de outros nomes para os servidores DNS do ISP ou servidores DNS raiz) e usar esses servidores DNS como servidores DNS para todos os domínios. -membros de computadores clientes e servidores.

Question 3

Herdei uma rede onde os nomes DNS internos e externos eram iguais. Este era um negócio relativamente pequeno, com apenas alguns hosts externos, então os problemas que tive foram menores. O DNS interno foi hospedado localmente e eu recomendo fortemente que você faça o mesmo. O DNS externo estava hospedado em um ISP e incluía apenas registros de hosts que precisavam ser acessíveis pela Internet. Os (pequenos) problemas que tive foram principalmente para garantir a duplicação de todos os hosts acessíveis pela Internet no DNS interno e externo.

Por exemplo,mail.empresa.comestava acessível dentro e fora da rede, assim como os hostsVPNewww. Eu precisava ter certeza de que ambos os servidores DNS foram alterados quando qualquer um desses hosts foi alterado (o que aconteceu algumas vezes).

Resumindo: esta não é uma prática recomendada. Mas se você tiver apenas alguns hosts acessíveis pela Internet, não será grande coisa. Você realmente deve hospedar seu AD DNS em seus controladores de domínio locais. Você provavelmente não deveria expor seu DNS local à Internet.

Answer

Herdei uma rede onde os nomes DNS internos e externos eram iguais. Este era um negócio relativamente pequeno, com apenas alguns hosts externos, então os problemas que tive foram menores. O DNS interno foi hospedado localmente e eu recomendo fortemente que você faça o mesmo. O DNS externo estava hospedado em um ISP e incluía apenas registros de hosts que precisavam ser acessíveis pela Internet. Os (pequenos) problemas que tive foram principalmente para garantir a duplicação de todos os hosts acessíveis pela Internet no DNS interno e externo.

Por exemplo,mail.empresa.comestava acessível dentro e fora da rede, assim como os hostsVPNewww. Eu precisava ter certeza de que ambos os servidores DNS foram alterados quando qualquer um desses hosts foi alterado (o que aconteceu algumas vezes).

Resumindo: esta não é uma prática recomendada. Mas se você tiver apenas alguns hosts acessíveis pela Internet, não será grande coisa. Você realmente deve hospedar seu AD DNS em seus controladores de domínio locais. Você provavelmente não deveria expor seu DNS local à Internet.

Problemas com o uso de domínio real para domínio do Active Directory?

Responder1

Responder2

Responder3

informação relacionada