Примечание. Я знаю, что вокруг AD Naming возникает масса вопросов. Я не думаю, что это повторяющийся вопрос. Если да, то свяжите меня с подходящей :).
Мы внедряем AD. Наша большая проблема - это доменное имя. Мы уже отказались от .local, прочитав множество статей и поговорив с людьми (сейчас у нас Mac 70/30).
Мы пытаемся выяснить, следует ли использовать в качестве доменного имени ourdomain.com или corp.ourdomain.com.
Мы уже знаем, что если бы мы использовали ourdomain.com, у нас были бы потенциальные проблемы, если бы люди не добавляли www. к URL-адресу нашего сайта, и мы готовы смириться с этим.
Нас беспокоят другие последствия, о которых мы не знаем. Например. Если у нас есть сервер Exchange, расположенный в центре обработки данных, который не является частью локальной сети, будут ли у него проблемы с DNS?
Чтобы дать обзор того, что у нас есть -
Наш сайт размещен во внешнем центре обработки данных, в настоящее время мы используем Google Apps, но планируем миграцию на Exchange (да, мы знаем, что это противоречит тенденции ...), который также может быть размещен в центре обработки данных или на месте.
Мы также широко используем наши сети VPN с межсетевыми экранами UTM и рассматриваем решения Cisco VPN или Citrix по мере расширения.
Также есть планы ввести Windows Distributed File Sharing и, возможно, использовать Centrify или Extreme-Z IP, если мы обнаружим, что Native Mac Integration отсутствует.
Мы также планируем использовать AD в качестве основы аутентификации, используя ее для служб RADIUS и LDAP для аутентификации и управления ролями в наших внутренних веб-приложениях и в беспроводной сети.
Мы читали http://msmvps.com/blogs/acefekay/archive/2009/09/07/what-s-in-an-active-directory-dns-name-choosing-a-domain-name.aspx но я надеялся получить более свежую информацию от любого, кто хорошо разбирается в поддержке AD, особенно в гибридных / распределенных средах.
Нет абсолютно никаких причин использовать то же DNS-имя домена AD, что и для внешней DNS-зоны с выходом в Интернет. Никто. Вообще.
Microsoft рекомендует использовать поддомен существующего домена, например, corp.yourdomain.com
или ad.mydomain.com
Это хорошо. Если вы не хотите, чтобы ваши пользователи видели, что их имя для входа corp\user
вы можете установить NetBIOS-имя домена на MYDOMAIN
во время процесса DCPROMO первого контроллера домена в вашем домене. Конечным результатом будет то, что полное доменное имя вашего домена будет corp.mydomain.com
но ваши пользователи увидят mydomain\user
. Таким образом, у вас могут быть более «красивые» логины, без полного дерьма DNS с разделенным горизонтом.
Серьезно, нет веской причины когда-либо использовать DNS с разделением горизонтов в вашей инфраструктуре AD.