При создании нового леса в Active Directory на моем контроллере домена под управлением Windows Server 2012 R2 мне было предложено указать имя корневого домена. Должно ли доменное имя быть зарегистрированным и принадлежать мне? Что произойдет, если я войду в домен, зарегистрированный и принадлежащий другим людям, например microsoft.com? Позже, когда я попытаюсь добавить компьютер Windows в этот домен, он выйдет в Интернет и будет искать microsoft.com или будет искать только в своей подсети (мой контроллер домена)? Было бы безопасно / предпочтительно просто ввести домен, принадлежащий, например, microsoft.com?
Имя домена Active Directory предназначено только для внутреннего использования, поэтому вы мог назовите его как хотите; однако в среде Active Directory имя домена также действует как суффикс DNS для всех компьютеров в домене, а контроллеры домена действуют как внутренние DNS-серверы, которые являются (или, по крайней мере, ведут себя так, как они были) для этого домена DNS.
Это означает, что если имя домена AD конфликтует с фактическим именем домена, существующим в Интернете, на все запросы DNS для этого домена будут отвечать ваши контроллеры домена, а не фактические DNS-серверы Интернета, которые управляют им. В вашем случае, если вы назовете свой домен «microsoft.com», у вас возникнут всевозможные проблемы при попытке подключиться к сайтам или службам Microsoft, потому что вы не сможете запрашивать общедоступные DNS-серверы для этого домена ( поскольку ваши внутренние DNS-серверы считают, что они по праву владеют им).
Кстати, то же самое верно, если вы используете свой реальный общедоступный домен DNS в качестве домена Active Directory: все, конечно, намного проще, потому что вы фактически владеете ими обоими, но это все равно требует, чтобы вы поддерживали две разные настройки DNS для одного и того же домена, один для Интернета и один для вашей внутренней сети.
Лучше всего использовать субдомен вашего публичного домена DNS в качестве имени домена AD; если f.e. ваш публичный домен - «domain.com», вы можете использовать «internal.domain.com» или «ad.domain.com» или что-то еще, если это действительный поддомен; это гарантирует отсутствие конфликтов и намного меньше головной боли.
В любом случае тебе следует не используйте любое доменное имя, которым вы фактически не владеете, даже если оно в настоящее время не активно (потому что оно все равно может быть зарегистрировано позже кем-то другим, а не вами, и это приведет к головной боли).
Лучше всего настроить локальный контроллер домена как DNS для компьютеров (без внешнего DNS).
Таким образом, это означает, что на все запросы для * Microsoft.com ответит ваш DC, и в большинстве случаев они будут терпеть неудачу как неизвестные, если они попытаются перейти на сайт вроде support.microsoft.com или где-нибудь еще.
С country tld теперь у вас может быть много доменных имен, и это ничего не стоит, и нет никаких причин не владеть им.