我是否有任何理由不應該使用 example.com 作為我的 AD 網域而不是 example.local 或其他一些不存在的變體?
答案1
我喜歡這種方法...我發現的唯一 PITA 因素是,如果您更改外部 DNS(用於公共服務,而不是 AD 連結)伺服器,您必須記住更改/新增條目您的內部 DNS 伺服器。
因此,舉例來說,如果您將網站移至另一個 IP 位址並透過 register.com(或 godaddy 或其他任何地方)更改您的條目,則必須進入並更改本地 DNS 伺服器上的 IP。
編輯:我發現了一篇名為“電腦、網域、網站和 OU 的 Active Directory 命名約定」。
在那份文件中,他們說:
連接到 Internet 的 DNS 命名空間必須是 Internet DNS 命名空間的頂層或二級域的子域。
在該文件中,他們推薦了類似 corp.yourdomain.com 的內容作為範例。
答案2
不要將您的「真實網域」用作 Active Directory 網域。 AdamB 給出的「PITA 因素」正是不這樣做的原因,而不僅僅是「PITA」。
對於已經在其他地方擁有權威名稱伺服器的網域來說,建立權威的 DNS 伺服器是一種不好的做法。如果您這樣做,您很快就會想要解析「已經權威」的名稱,並且需要手動將大量記錄複製到內部 DNS 伺服器中。
如果您想要一個與「真實」網域相鄰的命名空間,請嘗試「ad.company.com」之類的名稱。將“company.com”排除在外。
編輯:
現在我想我明白你要去哪裡了。您應該真正了解 Active Directory 如何使用 DNS(http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx)。你真的這麼做了想在本機上託管 Active Directory 的 DNS!
您的網域名稱(您的電子郵件、網站等)的 DNS 絕對應該由外部託管,但這不必(而且實際上不應該)與您用於 Active Directory 網域的網域相同。
您的外部 DNS 主機可能不會支援使 Active Directory 在其 DNS 伺服器中正常運作所需的所有功能。特別是,它們可能不會支援動態 DNS 註冊或基於 GSSAPI 的安全性更新。
除此之外,所有網域成員用戶端和伺服器電腦都需要 DNS 來執行登入和群組原則應用等基本操作。您不想將其與互聯網連接連接起來!
您必須使用 Windows Server 電腦來託管 Active Directory 本身。通常的做法是也使用這些網域控制站電腦來託管 Active Directory 的 DNS(並且通常將對其他名稱的請求轉發到 ISP 的 DNS 伺服器或根 DNS 伺服器)並將這些 DNS 伺服器用作所有網域的 DNS 伺服器-成員客戶端和伺服器電腦。
答案3
我繼承了一個內部和外部 DNS 名稱相同的網路。這是一個相對較小的企業,只有幾個外部主機,所以我遇到的問題很小。內部 DNS 託管在本地,我強烈建議您也這樣做。外部 DNS 託管在 ISP 處,僅包含需要從 Internet 存取的主機的記錄。我遇到的(小)問題主要是確保我在內部和外部 DNS 上複製了所有可透過 Internet 存取的主機。
例如,mail.company.com網路內部和外部均可訪問,主機也是如此VPN和萬維網。我需要確保當這些主機中的任何一個發生更改時,兩個 DNS 伺服器都會發生更改(他們這樣做了幾次)。
底線——這不是最佳實踐。但如果您只有幾台可存取 Internet 的主機,那就沒什麼大不了的。您確實應該將 AD DNS 託管在本機網域控制站上。您可能不應該將本機 DNS 暴露給網際網路。