Есть ли причина, по которой мне не следует использовать example.com в качестве домена AD вместо example.local или какого-либо другого несуществующего варианта?
решение1
Мне нравится этот подход... Единственный фактор PITA, который я обнаружил, заключается в том, что если вы вносите изменения на свой внешний DNS-сервер (для публичных служб, не связанных с AD), вам нужно не забыть изменить/добавить запись на свой внутренний DNS-сервер.
Так, например, если вы переместите свой веб-сайт на другой IP-адрес и измените запись на register.com (или godaddy, или где-то еще), вам придется войти и изменить IP-адрес на локальном DNS-сервере.
EDIT: Я наткнулся на статью MS под названием "Соглашения об именовании для Active Directory для компьютеров, доменов, сайтов и OU".
В этом документе говорится:
Пространство имен DNS, подключенное к Интернету, должно быть поддоменом домена верхнего или второго уровня пространства имен DNS Интернета.
Далее в этом документе в качестве примера рекомендуется использовать что-то вроде corp.yourdomain.com.
решение2
Не используйте свое "реальное доменное имя" для доменного имени Active Directory. Причина, которую AdamB назвал "фактором PITA", как раз и есть причина не делать этого, и это не просто "PITA".
Плохая практика — устанавливать DNS-сервер, который является авторитетным для домена, у которого уже есть авторитетные серверы имен в другом месте. Если вы это сделаете, вам вскоре захочется разрешить «уже авторитетные» имена и у вас будет путаница с ручным дублированием записей на ваших внутренних DNS-серверах.
Если вы хотите пространство имен, смежное с вашим «реальным» доменным именем, попробуйте что-то вроде «ad.company.com». Исключите «company.com».
Редактировать:
Теперь я думаю, что понимаю, куда ты клонишь. Тебе действительно стоит разобраться, как DNS используется Active Directory (http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx). Вы действительно делаетехотетьдля локального размещения DNS для Active Directory!
DNS для вашего доменного имени в Интернете (для вашей электронной почты, веб-сайта и т. д.) абсолютнодолжен размещаться снаружи, но это не обязательно (и на самом деле не должно быть) то же самое доменное имя, которое вы используете для своего доменного имени Active Directory.
Ваш внешний DNS-хост, скорее всего, не будет поддерживать все функции, необходимые для корректной работы Active Directory на его DNS-серверах. В частности, они, скорее всего, не будут поддерживать динамическую регистрацию DNS или безопасные обновления на основе GSSAPI.
Кроме того, всем вашим клиентским и серверным компьютерам, являющимся членами домена, понадобится DNS для выполнения базовых задач, таких как вход в систему и применение групповой политики. Вы не хотите привязывать это к тому, что ваше интернет-соединение включено!
Вам нужно использовать компьютер Windows Server для размещения самого Active Directory. Распространенной практикой является также использование этих компьютеров контроллеров домена для размещения DNS для Active Directory (и часто для пересылки запросов на другие имена на DNS-серверы провайдера или корневые DNS-серверы) и использование этих DNS-серверов в качестве DNS-серверов для всех клиентских и серверных компьютеров, являющихся членами домена.
решение3
Я унаследовал сеть, в которой внутренние и внешние имена DNS были одинаковыми. Это был относительно небольшой бизнес с несколькими внешними хостами, поэтому проблемы, с которыми я столкнулся, были незначительными. Внутренний DNS размещался локально, и я настоятельно рекомендую вам сделать то же самое. Внешний DNS размещался у интернет-провайдера и включал только записи для хостов, которые должны были быть доступны из Интернета. (Незначительные) проблемы, с которыми я столкнулся, в первую очередь заключались в том, чтобы убедиться, что я дублирую все доступные из Интернета хосты как на внутреннем, так и на внешнем DNS.
Например,mail.company.comбыл доступен как внутри, так и вне сети, как и хостывпниwwwМне нужно было убедиться, что оба DNS-сервера были изменены, когда любой из этих хостов изменился (что они сделали несколько раз).
В итоге — это не лучшая практика. Но если у вас всего несколько хостов с доступом в Интернет, это не такая уж большая проблема. Вам действительно следует разместить свой AD DNS на локальных контроллерах домена. Вам, вероятно, не следует выставлять свой локальный DNS в Интернет.