92 votos

Active Directory de Windows nomenclatura de las mejores prácticas?

Después de experimentar con los dominios de Windows y los controladores de dominio en un entorno virtual, me he dado cuenta de que tener un dominio de active directory denomina de forma idéntica a un dominio DNS es mala idea (lo que Significa que habiendo example.com como un nombre de Active Directory no es bueno cuando tenemos la example.com nombre de dominio registrados para su uso en nuestro sitio web).

Esta cuestión parece apoyar esa conclusión, pero todavía no estoy seguro acerca de lo que otras normas hay alrededor de nomenclatura de dominios de Active Directory.

¿Hay alguna de las mejores prácticas en lo que un nombre de Active Directory debería o no debería ser?

98voto

Evan Anderson Puntos 118832

Este ha sido un divertido tema de discusión en el Servidor Falla. No parecen ser diferentes "puntos de vista religiosos" sobre el tema.

Estoy de acuerdo con Microsoft recomendación: Utilizar un sub-dominio de la empresa que ya está registrado nombres de dominio de Internet.

Por lo tanto, si usted es dueño de foo.com, uso ad.foo.com o algo así.

La más vil cosa, como yo lo veo, es el uso de Internet registrado el nombre de dominio, verbatim, para el dominio de Active Directory nombre. Esto hace que se vean forzadas a copiar manualmente los registros de DNS de Internet (como www) en la zona DNS de Active Directory para permitir a los "externos" nombres para resolver. He visto absolutamente cosas tontas como IIS instalado en todos los DC en una organización para la ejecución de un sitio web que realiza una redirección tales que alguien entrando foo.com en su navegador será redirigido a www.foo.com por estos IIS instalaciones. Absoluta estupidez!

Utilizando el nombre de dominio de Internet de las ganancias que no hay ventajas, pero crea "hacer el trabajo" cada vez que cambie las direcciones IP de host externo nombres se refieren. (Trate de usar geográficamente equilibrado de carga de DNS para los hosts externos y la integración que con un "split DNS" de la situación, también! Gee-que sería divertido...)

La utilización de un subdominio no tiene ningún efecto sobre cosas como el Intercambio de entrega de correo electrónico o Nombre Principal de Usuario (UPN) sufijos, por CIERTO. (Veo a menudo que aquellos ambos citados como excusas para usar el nombre de dominio de Internet como el nombre de dominio AD.)

También veo la excusa de "muchas de las grandes empresas". Las empresas grandes pueden tener estúpido decisiones tan fácilmente (si no más) de las pequeñas empresas. No creo que sólo porque una gran empresa hace una mala decisión que de alguna manera hace que sea una buena decisión.

34voto

TheCleaner Puntos 22495

Para ayudar a MDMarra la respuesta:

Usted debe NUNCA utilizar un nombre DNS de etiqueta única para su nombre de dominio. Este fue/está disponible antes de Windows 2008 R2. Razones/explicaciones se pueden encontrar aquí: http://support.microsoft.com/kb/300684/en-us

No te olvides de NO utilizar palabras reservadas (se incluye una tabla en la "Convenciones de Nomenclatura de" enlace en la parte inferior de este post), como SISTEMA o MUNDO o RESTRINGIDO.

También estoy de acuerdo con Microsoft en el que se debe seguir dos reglas adicionales (que no están grabados en piedra, pero aún así):

  1. Usted NO debe el nombre de su dominio basado en algo que va a cambiar o se vuelven obsoletos. Los ejemplos incluyen el nombre de tu dominio, después de una línea de producto, sistema operativo, o cualquier otra cosa que se pueden cambiar con el tiempo. Seguir con algo, ya sea geográfica o de hormigón suficiente para dar sentido a 5 o incluso 10 años en el camino.
  2. Stick con nombres cortos de 15 caracteres o menos, esto permitirá el nombre NETBIOS fácilmente ser el mismo que el nombre de dominio.

Por último, me gustaría recomendar que pensar a largo plazo tanto como sea posible. Las empresas que ir a través de fusiones y adquisiciones de empresas, incluso las pequeñas empresas. También pensar en términos de conseguir ayuda del exterior o de la consulta. El uso de nombres de dominio, AD estructura, etc. que será explicable a consultores o personas aquí en SF sin mucho esfuerzo.

Vínculos de conocimiento:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

Actuales de Microsoft (W2k12) recomendación de la página en la root del bosque de nombres de dominio

5voto

MDMarra Puntos 81543

Sólo hay dos respuestas correctas para esta pregunta.

  1. Una nueva sub-dominio de un dominio que uso público. Por ejemplo, si tu público presencia en la web es example.com su ANUNCIO interno podría ser llamado algo como ad.example.com o internal.example.com.

  2. Un boleto de dominio de segundo nivel que posee y no utilizar en cualquier otro lugar. Por ejemplo, si tu público presencia en la web es example.com su ANUNCIO podría ser nombrado example.net mientras que se han registrado example.net y no utilizarlo en cualquier otro lugar!

Estos son sus únicos dos opciones. Si usted hace algo de otra persona, usted está dejando abierto a una gran cantidad de dolor y sufrimiento.


Pero todo el mundo lo usa .local!
No importa. Usted no debe. He blogs sobre el uso de .locales y otras compone TLDs como .lan y las .corp. Bajo ninguna circunstancia se debe hacer esto.

No es más seguro. No se trata de "mejores prácticas" como algunos dicen. Y no tiene ningún beneficio de más de las dos opciones que me he propuesto.

Pero quiero el nombre es el mismo que el de mi público URL del sitio web para que mis usuarios son example\user en lugar de ad\user
Esto es válido, pero equivocada preocupación. Cuando se promueve el primer controlador de dominio en un dominio, puede configurar el nombre NetBIOS del dominio para lo que usted desea ser. Si usted sigue mi consejo y configurar el dominio para ser ad.example.com, puede configurar el dominio del nombre de NetBIOS a ser example , de modo que los usuarios iniciar sesión como example\user.

En los Bosques de Active Directory y Fideicomisos, se pueden crear otros sufijos UPN así. No hay nada que te impida la creación y configuración de @example.com como el principal sufijo UPN para todas las cuentas en su dominio. Cuando se combina esto con el anterior NetBIOS recomendación, no el usuario final verá de que su dominio del FQDN ad.example.com. Todo lo que se ve será example\ o @example.com. Las únicas personas que deben trabajar con el FQDN son los administradores de sistemas que funcionan con Active Directory.

También, se supone que utilice un split-horizon espacio de nombres de DNS, lo que significa que su ANUNCIO el nombre es el mismo público en el sitio web. Ahora, los usuarios no pueden acceder a example.com internamente a menos que usted los tiene prefijo www. en su navegador o de ejecutar IIS en todos los controladores de dominio (esto es malo). También han de conservar dos no idéntico a las zonas DNS que comparten un espacio de nombres discontinuo. Es realmente más fácil de lo que vale. Ahora imagine que tiene una alianza con otra compañía y ellos también tienen un split-horizon configuración de DNS con su ANUNCIO y su presencia externa. Tienes un privado enlace de fibra entre los dos y usted necesita para crear un fideicomiso. Ahora, todos los de su tráfico de sus sitios públicos que ha de recorrer el vínculo privado en lugar de salir a través de Internet. También crea todo tipo de dolores de cabeza para los administradores de red en ambos lados. Evitar esto. Confía en mí.

Pero, pero, pero...
En serio, no hay ninguna razón para no usar una de las dos cosas que te he sugerido. Cualquier otra forma tiene trampas. Yo no estoy diciendo que se apresuran a cambiar su nombre de dominio si su funcionamiento y en su lugar, pero si vas a crear un nuevo ANUNCIO, hacer una de las dos cosas que yo he recomendado anteriormente.

-16voto

Chris Roberts Puntos 7543

Yo siempre hago mydomain.local.

local no es válido TLD, por lo que nunca compite con una entrada en el DNS público.

Por ejemplo, me gusta ser capaz de saber que web1.mydomain.local se resuelve a la IP interna de un servidor web, mientras que web1.mydomain.com se resuelve a la IP externa.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: