Назад | Перейти на главную страницу

Плюсы и минусы использования внутреннего или внешнего доменного имени для Active Directory

Меня всегда учили использовать внутреннее доменное имя (company.local или company.corp) для Active Directory вместо того (company.com или company.pl). Недавно мы подумали, что, используя внешнее доменное имя, мы можем получить некоторые преимущества для таких вещей, как сертификаты для Exchange, Sharepoint и тому подобное, где внутренние и внешние имена будут совершенно одинаковыми, что делает ненужным покупать специальные сертификаты.

Каковы преимущества и недостатки обоих? Что может быть при этом потенциальной проблемой и что может быть большим преимуществом?

Я построил и поддержал десятки лесов Active Directory за последнее десятилетие, от создания серверов SBS на 10 пользователей до управления лесом 6000 пользователей с 50+ DC и полной модернизации. Я могу сказать, что не вижу причин НЕ использовать ваше доменное имя .com в качестве имени леса AD, если вы все правильно спланировали. Microsoft перестала рекомендовать использование домена .local несколько лет назад из-за несовместимости Bonjour со старыми версиями Mac OS X и по причинам, которые вы указываете. Идея, появившаяся в дни Win2000, сделать корневой домен "без членов" с вашим основным доменом, являющимся поддоменом, теперь также выпадает из окна благодаря более совершенным инструментам и управлению.

Причины использования «раздельного» DNS с одинаковым Интернетом и доменом AD:

  1. Лучшая причина: URL-адреса для веб-приложений внутри и снаружи одинаковы для пользователей (рекомендуется добавить свое внутреннее доменное имя в зону безопасности интрасети IE через GPO)
  2. возможность легко сделать один и тот же адрес для входа в систему и адрес электронной почты (способ входа в систему NT4 - домен \ пользователь, но в современных окнах он также принимает имя пользователя@домен.com)
  3. OCS / Lync SIP-адрес такой же, как электронная почта и логин
  4. Вы можете использовать свои общедоступные сертификаты для внутренних серверов, а не для своего частного центра сертификации.

Минус:

  1. VPN с раздельным туннелем. Сложность возникает, когда клиентским компьютерам за пределами вашей сети необходимо решить использовать либо общедоступный IP-адрес для сайта website.domain.com, либо внутренний. Часто компании (чтобы быть дешевыми и сэкономить полосу пропускания) устанавливают настройки Windows VPN клиента для раздельного туннеля, который сообщает Windows, что в интрасеть нужно отправлять только трафик, предназначенный для внутренних имен / IP-адресов. Когда DNS может разрешать одни и те же имена внутри и вне сети, что он должен выбрать для использования? Windows выдаст неоднозначные результаты относительно того, какие записи DNS (частные или общедоступные) использовать для клиента. Моя рекомендация: не разрешайте раздельное туннелирование в клиентских VPN.

участвуя в длительном (и очень дорогом) проекте миграции рекламы, я стал поклонником внутренней рекламы, которая является «общей» в отношении названия вашей компании. Если вы занимаетесь бизнесом, который может быть куплен или объединен с другим бизнесом, вы можете обнаружить, что вам не обязательно менять рекламный домен из-за бизнес-решения.

например, если вы занимаетесь обувным бизнесом, вы можете приобрести доменное имя, такое как corpshoe.net, и использовать его только в качестве активного каталога. ваш корпоративный веб-сайт и электронная почта могут остаться такими же, как и ваши обычные доменные имена, и если ваша компания изменится, ваше объявление не обязательно.

Я также считаю, что вы должны владеть своим рекламным названием во внешнем мире. это просто все упрощает.

Управление DNS - это основная головная боль, с которой вы столкнетесь.

  • Разрешение домена:

Системы в домене ожидают, что смогут разрешить контроллеры домена, когда они запрашивают полное доменное имя домена. Это проблема, если ваши пользователи, скажем, хотят получить доступ к веб-сайту, установив company.com в их браузерах; эта запись DNS должна указывать на контроллеры домена (и пользователям нужно будет ввести www.company.com для веб-сайта).

  • Управление двойной зоной:

Точно так же ваши серверы Active Directory будут настроены как авторитетные для company.com зона. Таким образом, вы эффективно будете управлять двумя копиями зоны; тот, который находится в активном каталоге, и тот, который увидят пользователи Интернета. Все записи, к которым вашим внутренним пользователям потребуется доступ, необходимо будет создать и обновить в обоих местах.

Преимущество, которое вы указали для сертификатов, может быть получено с помощью некоторых уловок DNS, без необходимости постоянно фиксировать перекрытие. С другой стороны, с точки зрения удобства использования полезно, чтобы адрес электронной почты пользователей совпадал с их именем принципа пользователя.