Каковы плюсы и минусы выбора локального доменного имени, такого как mycompany.local, по сравнению с публично зарегистрированным доменным именем, таким как mycompany.com (при условии, что ваша организация зарегистрировала публичное имя)? Когда бы вы предпочли одно другому?
Спасибо Зоредаш и Джею за то, что указали мне на этот вопрос, у которых были самые полезные отзывы. Это также привело меня к обнаружению этого Статья Microsoft Technet, в котором говорится:
Лучше всего использовать DNS-имена, зарегистрированные в Интернет-центре в пространстве имен Active Directory. Только зарегистрированные имена гарантированно будут глобально уникальными. Если другая организация позже зарегистрирует такое же доменное имя DNS, или если ваша организация объединится, приобретет или будет приобретена другой компанией, которая использует те же имена DNS, то две инфраструктуры не смогут взаимодействовать друг с другом.
Заметка
Не рекомендуется использовать имена с одной меткой или незарегистрированные суффиксы, такие как .local.
Объединив это с советом Мрденни, я думаю, что правильным подходом будет использование либо:
Часть «никогда не использовалась публично» - это бизнес-решение, поэтому, вероятно, лучше всего получить согласие тех в компании, которые уполномочены резервировать доменные имена и поддомены. Например. вы не хотите использовать зарегистрированное имя или субдомен, которые позже отдел маркетинга захочет использовать для какой-либо публичной маркетинговой кампании.
Ниже приводится отрывок из моего ответа на аналогичный вопрос, найденный по адресу: Домен верхнего уровня / суффикс домена для частной сети?.
Microsoft рекомендовала либо
выделенное зарегистрированное доменное имя, недоступное в Интернете
субдомен вашего общедоступного доменного имени для использования в качестве имени корневого домена леса Active Directory
с тех пор, как они выпустили Active Directory в Windows 2000 Server. Для меня основным преимуществом использования поддомена вашего публичного доменного имени является единообразие пространства имен, в результате чего на одну вещь меньше, что вы, другие администраторы и пользователи должны помнить.
Серверы с выходом в Интернет:
www.example.com
mail.example.com
dns1.example.com
Внутренние машины:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com
Я использовал "corp", чтобы обозначить, что этот поддомен описывает машины во внутренней корпоративной сети, но вы можете использовать здесь все, что захотите, например "internal": client1.internal.example.com.
Использование одного и того же домена усложнит задачу.
К сожалению, использование .local также может вызвать проблемы. В частности .local используется для Bonjour/ Zeroconf. Если вы используете .local tld, вам нужно будет настроить параметры на любом компьютере OSX или хосте Linux, на котором работает avahi.
В несколько родственном вопросе 'Домен верхнего уровня для частных сетей'. Есть много советов о том, что вам следует не использовать, но на самом деле нет единого мнения о том, какой TLD следует использовать для частных сетей.
Если я не ошибаюсь, и, пожалуйста, поправьте меня, если я ошибаюсь, но я не верю, что что-то из IETF, IANA или любого другого органа по стандартизации разрешает использование .local для чего-либо.
Вам не следует использовать публичное доменное имя в качестве имени AD.
Первая проблема, с которой вы столкнетесь, - это доступ к вашему общедоступному веб-сайту. Имя вашего общедоступного сайта совпадает с названием вашего внутреннего сайта. Итак, когда вы делаете nslookup для mycompany.com вы получаете обратно IP-адреса вашего внутреннего сервера AD, а не общедоступный IP-адрес для сайтов компании. Если вы настроите имя FTP для своего общедоступного сайта, вы также не сможете найти это имя.
Для решения некоторых из этих проблем необходимо поместить общедоступные имена и IP-адреса во внутренний DNS, чтобы вы могли использовать их изнутри брандмауэра, но это означает, что теперь вам нужно управлять двумя фермами DNS, когда что-либо на общедоступной стороне изменяется.
Еще одна причина хранить их отдельно, чтобы злоумышленник не знал вашего внутреннего доменного имени. Незнание доменного имени - это еще одна часть головоломки, которую злоумышленник должен разгадать.
Если вы не хотите использовать внешнее пространство имен, любая из ваших мыслей (что-то вроде corp.mycompany.com или mycompany.net) работает хорошо и является обычным явлением. Лично я предпочитаю вариант .net субдомену, но я делал и то, и другое много раз.
Указанная выше статья TechNet старше этой;
Здесь Microsoft постоянно предлагает использовать частное пространство имен для доменного имени Active Directory. Вы также найдете подробные сведения о недостатках и проблемах использования публично зарегистрированного доменного имени.
Еще в 2000 году был проект IETF Internet под названием DNS-домен верхнего уровня для частных сетей который рекомендовал использовать .pri:
Зарезервированное доменное имя верхнего уровня «.pri» позволит безопасно выбрать частное доменное имя без риска конфликта с текущими или будущими зарегистрированными доменными именами.
Частный DNS-сервер настроен как полномочный для домена «.pri» и при необходимости делегирует частные поддомены.
Не уверен, что с этим стало, но это была отличная идея.
(Обновление: IETF Tracker говорит: проект никогда не заходил дальше.)