100 votos

toolkit avatar

¿Las mejores prácticas de nomenclatura de Windows Active Directory?

Preguntado el 21 de Octubre, 2009
Cuando se hizo la pregunta
30376 visitas
Cuantas visitas ha tenido la pregunta
5 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Este es un Pregunta canónica sobre la denominación de dominios de Active Directory.

Después de experimentar con los dominios de Windows y los controladores de dominio en un entorno virtual, me he dado cuenta de que tener un dominio de directorio activo con un nombre idéntico a un dominio DNS es una mala idea (lo que significa que tener example.com como nombre de Active Directory no sirve cuando tenemos el example.com nombre de dominio registrado para su uso como nuestro sitio web).

Esta pregunta relacionada parece apoyar esta conclusión Pero todavía no estoy seguro de qué otras reglas hay en torno a la denominación de los dominios de Active Directory.

¿Existe alguna práctica recomendada sobre lo que debe o no debe ser un nombre de Active Directory?

Preguntado el 21 de Octubre, 2009 por toolkit

Respuestas

¿Demasiados anuncios?

110voto

Evan Anderson avatar
Evan Anderson Puntos 118832

Este ha sido un tema de discusión muy divertido en el Servidor de Fallos. Parece que hay diferentes "opiniones religiosas" sobre el tema.

Estoy de acuerdo con la recomendación de Microsoft : Utilice un subdominio del nombre de dominio de Internet ya registrado por la empresa.

Por lo tanto, si usted posee foo.com Utilizar ad.foo.com o algo así.

Lo más vil, a mi entender, es utilizar el nombre de dominio de Internet registrado, textualmente, para el nombre de dominio de Active Directory. Esto hace que te veas obligado a copiar manualmente los registros del DNS de Internet (como www ) en la zona DNS de Active Directory para permitir que los nombres "externos" se resuelvan. He visto cosas totalmente tontas como IIS instalado en cada DC de una organización que ejecuta un sitio web que hace una redirección tal que alguien que entra en foo.com en su navegador sería redirigido a www.foo.com por estas instalaciones de IIS. Una auténtica tontería.

Utilizar el nombre de dominio de Internet no le aporta ninguna ventaja, sino que crea "trabajo de confección" cada vez que cambia las direcciones IP a las que se refieren los nombres de los hosts externos. (¡Intenta usar un DNS con carga equilibrada geográficamente para los hosts externos e integrar eso con una situación de "DNS dividido", también! Caramba... eso sería divertido...)

El uso de un subdominio de este tipo no afecta a cosas como la entrega de correo electrónico de Exchange o los sufijos de nombre principal de usuario (UPN), por cierto. (A menudo veo que ambos se citan como excusas para utilizar el nombre de dominio de Internet como nombre de dominio de AD).

También veo la excusa de que "muchas empresas grandes lo hacen". Las grandes empresas pueden tomar decisiones estúpidas con la misma facilidad (si no más) que las pequeñas. No me creo que el hecho de que una gran empresa tome una mala decisión haga que sea una buena decisión.

Respondido el 21 de Octubre, 2009 por Evan Anderson (118832 Puntos )

2 votos

Avatar de toolkit

Pero entonces el nombre NetBIOS del dominio no es... bueno, bonito :) corp no es tan descriptivo como foo .

Comentado el 21 de Octubre, 2009 por toolkit

36 votos

Avatar de Evan Anderson

Sin embargo, puede asignar el nombre NetBIOS que desee. Muchos de mis clientes tienen nombres como "ad.example.com", pero el nombre NetBIOS es "EXAMPLE". DCPROMO le pedirá el nombre NetBIOS que desee durante la creación del dominio.

Comentado el 21 de Octubre, 2009 por Evan Anderson

5 votos

Avatar de JamesRyan

Si haces esto ten cuidado con los problemas con los dominios que tienen comodines. Cuando tienes *.foo.com, host.internal.foo.com coincidirá en algunas situaciones

Comentado el 21 de Octubre, 2009 por JamesRyan
Mostrar 7 comentarios más

103voto

MDMarra avatar
MDMarra Puntos 81543

Sólo hay dos respuestas correctas a esta pregunta.

  1. Un subdominio no utilizado de un dominio que utiliza públicamente. Por ejemplo, si su presencia web pública es example.com su AD interno podría llamarse así ad.example.com o internal.example.com .

  2. Un dominio de segundo nivel no utilizado que usted posee y no lo uses en ningún otro sitio. Por ejemplo, si su presencia pública en la web es example.com su AD podría llamarse example.net siempre que se haya registrado example.net y no lo uses en ningún otro sitio.

Estas son sus dos únicas opciones. Si haces otra cosa, te estás exponiendo a mucho dolor y sufrimiento.

Pero todo el mundo utiliza el .local.
No importa. No deberías. Ya he escrito sobre el uso de .local y otros TLDs inventados como .lan y .corp . Bajo ninguna circunstancia debes hacer esto.

No es más seguro. No son las "mejores prácticas", como afirman algunos. Y no tiene cualquier beneficio sobre las dos opciones que he propuesto.

Pero quiero ponerle el mismo nombre que la URL de mi sitio web público para que mis usuarios sean example\user en lugar de ad\user
Es una preocupación válida, pero equivocada. Cuando se promociona el primer DC de un dominio, se puede establecer el nombre NetBIOS del dominio como se desee. Si sigues mi consejo y configuras tu dominio para que sea ad.example.com puede configurar el nombre NetBIOS del dominio para que sea example para que sus usuarios se conecten como example\user .

En los bosques y fideicomisos de Active Directory, también puede crear sufijos UPN adicionales. No hay nada que te impida crear y establecer @ejemplo.com como sufijo UPN principal para todas las cuentas de tu dominio. Si combina esto con la recomendación anterior de NetBIOS, ningún usuario final verá que el FQDN de su dominio es ad.example.com . Todo lo que vean será example\ o @example.com . Los únicos que tendrán que trabajar con el FQDN son los administradores de sistemas que trabajan con Active Directory.

Además, suponga que utiliza un espacio de nombres DNS de horizonte dividido, lo que significa que el nombre de su AD es el mismo que el de su sitio web de cara al público. Ahora, sus usuarios no pueden llegar a example.com internamente a menos que los tenga prefijados www. en su navegador o ejecuta IIS en todos sus controladores de dominio (esto es malo). También tienes que curar dos zonas DNS no idénticas que comparten un espacio de nombres distinto. En realidad es más molestia de lo que merece la pena. Ahora imagine que tiene una asociación con otra empresa y que ellos también tienen una configuración de DNS de horizonte dividido con su AD y su presencia externa. Usted tiene un enlace de fibra privada entre los dos y necesita crear una confianza. Ahora, todo su tráfico a cualquiera de sus sitios públicos tiene que atravesar el enlace privado en lugar de salir por Internet. También crea todo tipo de dolores de cabeza para los administradores de la red en ambos lados. Evita esto. Confía en mí.

Pero pero pero...
En serio, no hay razón para no usar una de las dos cosas que he sugerido. Cualquier otra forma tiene trampas. No te estoy diciendo que te apresures a cambiar tu nombre de dominio si está funcionando y en su lugar, pero si estás creando un nuevo AD, haz una de las dos cosas que he recomendado arriba.

Respondido el 29 de Enero, 2013 por MDMarra (81543 Puntos )

2 votos

Avatar de OrangeDog

Un pequeño punto: se puede usar algo mucho más pequeño, rápido y seguro que IIS para servir la redirección. Incluso haproxy o nginx son probablemente excesivos - por no hablar de un servidor con todas las funciones como apache2.

Comentado el 29 de Enero, 2013 por OrangeDog

9 votos

Avatar de MDMarra

Esto es cierto, pero todo de eso es descuidado e innecesario.

Comentado el 29 de Enero, 2013 por MDMarra

0 votos

Avatar de Seph

Uuuuw sí, fue tan doloroso cuando alguien registró de repente el dominio local.net y todas las impresoras que silenciosamente obtuvieron NXDOMAIN antes de esa fecha de repente ya no respondieron. Esa fue una investigación divertida...

Comentado el 26 de Agosto, 2013 por Seph
Mostrar 6 comentarios más

34voto

TheCleaner avatar
TheCleaner Puntos 22495

Para ayudar a la respuesta de MDMarra:

Deberías NUNCA utilice un nombre DNS de una sola etiqueta para su nombre de dominio tampoco. Esto estaba/está disponible antes de Windows 2008 R2. Las razones/explicaciones se pueden encontrar aquí: Implantación y funcionamiento de dominios de Active Directory configurados mediante el uso de nombres DNS de etiqueta única | Soporte técnico de Microsoft

No olvides NO utilizar palabras reservadas (se incluye una tabla en el enlace "Convenciones de nomenclatura" al final de este post), como SYSTEM o WORLD o RESTRICTED.

También estoy de acuerdo con Microsoft en que hay que seguir dos reglas adicionales (que no están grabadas en piedra, pero aún así):

  1. NO debe nombrar su dominio basándose en algo que cambiará o quedará obsoleto. Por ejemplo, nombrar el dominio con el nombre de una línea de productos, un sistema operativo o cualquier otra cosa que pueda cambiar con el tiempo. Elige algo geográfico o lo suficientemente concreto como para que tenga sentido dentro de 5 o incluso 10 años.
  2. Utilice nombres cortos de 15 caracteres o menos, esto permitirá que el nombre NETBIOS sea fácilmente el mismo que el nombre de dominio.

Por último, le recomiendo que piense a largo plazo en la medida de lo posible. Las empresas pasan por fusiones y adquisiciones, incluso las pequeñas. También piense en obtener ayuda/consulta externa. Utiliza nombres de dominio, estructura AD, etc. que sean explicables a los consultores o a la gente aquí en SF sin mucho esfuerzo.

Enlaces de conocimiento:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

Página de recomendaciones de Microsoft (W2k12) para el nombre de dominio del bosque root

Respondido el 29 de Enero, 2013 por TheCleaner (22495 Puntos )

4voto

MadBoy avatar
MadBoy Puntos 1864

No estoy de acuerdo con el uso:

  • example.com - por razones ya expuestas en otras respuestas

Podría aceptar el uso:

  • ad.example.com - - por razones ya expuestas en otras respuestas

Pero yo no lo haría ni lo recomendaría. Durante la adquisición de una empresa, el cambio de marca se convierte en un infierno, especialmente cuando la dirección quiere que las cosas cambien de inmediato. Las migraciones de renombramiento, los cambios son muy duros o caros.

La mejor manera que yo recomendaría es comprar un dominio que sea irrelevante para el nombre de la empresa y también irrelevante para la marca de la empresa. SIMPLE.CLOUD o similar, debería funcionar bien siempre y cuando puedas poseerlo.

He visto grandes empresas con 150k usuarios que usan AD que aún hacen referencia a la antigua empresa que compraron hace años, o empresas que cambiaron de nombre y aunque no importa a largo plazo que estés usando \login (si no puedes usar el UPN) sigue quedando mal ante la administración que no entiende por qué no es trivial cambiarlo.

Respondido el 27 de Octubre, 2016 por MadBoy (1864 Puntos )

-20voto

Chris Roberts avatar
Chris Roberts Puntos 7543

Siempre lo hago mydomain.local .

local no es un TLD válido, por lo que nunca compite con una entrada DNS pública real.

Por ejemplo, me gusta poder saber que web1.mydomain.local se resolverá a la IP interna de un servidor web, mientras que web1.mydomain.com se resolverá a la IP externa.

Respondido el 23 de Septiembre, 2010 por Chris Roberts (7543 Puntos )

8 votos

Avatar de jscott

POR CIERTO, .local consultas martillo en el servidor L root -- ~800/seg cuando miré.

Comentado el 23 de Septiembre, 2010 por jscott

2 votos

Avatar de PnP

Dot.Local, alias dot.Fail

Comentado el 13 de Abril, 2015 por PnP

3 votos

Avatar de Jonathan J

Utilizar un TLD no válido (o un dominio no registrado) no es la mejor práctica, sino la peor, por todas las razones mencionadas anteriormente. Reconozco que he utilizado el .local, pero eso fue antes de conocerlo mejor.

Comentado el 9 de Septiembre, 2016 por Jonathan J

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X