Я настраиваю новый домен на базе Windows Server 2008 и думаю о доменном имени. Некоторое время назад я прочитал некоторую документацию от Microsoft, где они посоветовали использовать суффикс .local для «внутренних» корпоративных доменов, чтобы они не конфликтовали с общедоступными, доступными в Интернете доменами. Например, если моя компания называется Acme, а наш общедоступный домен (включая веб-сайт, размещенный у поставщика colo) будет acme.com
, то наш "внутренний" домен Windows должен называться acme.local
.
Однако через некоторое время я прочитал другую документацию от Microsoft, в которой они опровергли это и посоветовали этого не делать.
Что вы думаете? Как лучше всего назвать внутренний домен? Любой соответствующий опыт?
редактировать. Кажется, что, несмотря на то, что Microsoft рекомендует не использовать суффикс .local для «внутренних» сетей, Microsoft все же навязывает его некоторым продуктам, таким как SBS. Есть ли какие-либо причины, по которым использование .local явно является проблемой?
Спасибо.
Суффикс домена .local не является полным доменным именем и, следовательно, «немаршрутизируемый». Это в некоторой степени защищает ваш домен от передачи информации за пределы его периметра.
Например, пользователь с портативным компьютером в вашем внутреннем домене acme.com подключается к своей домашней сети. Он пытается разрешить acme.com и обратиться к ближайшему к нему DC. Ваш внешний acme.com внезапно отбивает трафик, связанный с AD, и этот трафик течет напрямую через Интернет.
В худшем случае вы выбираете внутреннее доменное имя, а кто-то другой владеет этим же доменным именем извне. Теперь, когда ваши пользователи уходят за пределы сайта, их машина пытается разрешить домен и связаться с ним, но их трафик будет отправлен в какую-то случайную компанию, которая владеет именем mysuperdomain.com в Тимбукту.
Также могут возникнуть некоторые сложности, связанные с внутренней и внешней конфигурацией DNS, если вы решите использовать одно и то же имя для внутреннего и внешнего доменов. Даже использование поддомена вашего внешнего доменного имени (например, AD.mycompany.com) может привести к проблемам с DNS в будущем, часто при предоставлении внутренним пользователям доступа к вашим ресурсам, которые также доступны извне.
Лучшая практика IMO использует mycompanyname.local для вашего внутреннего домена и mycompanyname.com (или что-то подобное) для внешнего.
Не используйте .local. Bonjour для OS X использует .local, чтобы творить «волшебство». Соответственно, если вы используете .local для своего TLD, вам нужно будет преодолеть дополнительные препятствия, если вы когда-либо планируете добавлять Mac в свою сеть. .lan красивый и короткий.
Видеть:
Хотя не зарезервированный .local используется UPnP SSDP на стороне Microsoft (Apple использует его в Bonjour). Я обычно рекомендую использовать .internal (обратите внимание, что .int зарезервирован)
Microsoft на самом деле не рекомендую суффикс .local. Они рекомендуют немаршрутизируемый, но уникальный домен или субдомен под контролем вашей компании. В качестве примера они используют copr.microsoft.com.
Я также не рекомендую использовать .local для внутреннего доменного имени. Выберите то, что «не маршрутизируется», но важно для вас и / или вашей организации.
Если у вас есть настольные системы Linux, на которых работает AVAHI, у вас могут возникнуть проблемы. Я отслеживал этот Ошибка Ubuntu вот уже почти 3 года, когда Ubuntu не может разрешить DNS-имена, оканчивающиеся на .local. Поэтому, когда я подключаю свой ноутбук с Linux к клиентской сети и пробую «ssh admin@switch1.client.local», я получаю огромные задержки. В этой ошибке есть обходной путь, но он все равно раздражает. Многие люди рекомендуют .lan вместо .local. С другой стороны, вы всегда можете зарегистрировать действительное доменное имя или использовать субдомен, например corp.acme.com.