Yeni bir Active Directory ormanını adlandırmak - neden split horizon DNS önerilmiyor?

Umarım , hepimiz bir Active Directory ormanını adlandırmak için önerilerin ne olduğunu biliyoruz ve bunlar oldukça basit. Yani, tek bir cümleyle özetlenebilir.

Mevcut, kayıtlı bir alan adının bir alt alan adı kullanın ve harici olarak kullanılmayacak olanı seçin. Örneğin, hopelessn00b.cometki alanını dahil edip kaydettirirsem, AD iç ormanımın adlandırılması gerekir internal.hopelessn00b.comveya ad.hopelessn00b.comveya corp.hopelessn00b.com.

Orada kullanarak kaçınmak için ezici zorlayıcı sebepler "sahte" TLD'leri veya tek etiketli alan adları , ama kök etki alanını (kullanmaktan kaçınmak için benzer zorlayıcı sebepler bulmakta zorlanıyorum hopelessn00b.comalan adımı gibi) ve bu şekilde bir alt etki alanı kullanın corp.hopelessn00b.comyerine . Gerçekten, bulabildiğim tek neden, harici web sitesine dahili olarak erişmenin bir A nameDNS kaydı gerektirdiği ve www.bir tarayıcıda web sitesi adının önüne yazmanın sorun olduğu kadar "meh" olduğu anlamına geliyor.

Peki neyi özlüyorum? ad.hopelessn00b.comActive Directory orman adım olarak kullanmak neden çok daha iyi hopelessn00b.com?

Sadece kayıt için, benim işveren ihtiyaçları ikna bu gerçekten - patron arka ufak olduğunu ve adlı yeni AD orman oluşturmak için önde bana gitmek verdikten sonra corp.hopelessn00b'semployer.comİç ağımız için, o adında bir AD orman ile sopa isteyen var hopelessn00b'semployer.com( bizim harici olarak tescilli alan adımızla aynı). En iyi uygulamanın daha iyi bir seçenek olduğu konusunda zorlayıcı bir sebep veya sebep bulabileceğimi umuyorum, bu yüzden onu ikna edebilirim ... çünkü öfkeden ayrılmaktan ve / veya en azından yeni bir iş bulmaktan daha kolay görünüyor an Şu anda, "Microsoft en iyi uygulamaları" ve şirketimiz için halka açık web sitesine dahili olarak erişmek, onu kesiyor gibi görünmüyor ve gerçekten , gerçekten , gerçekten burada gerçekten birinin gerçekten inandırıcı bir şeyleri olmasını umuyorum.

Sahip olmak için çok fazla rep. Bana gel kıymetlim.

Tamam, Microsoft tarafından oldukça iyi belgelenmiştir, bölünmüş ufuk veya birçok kez bağlantı kurduğunuzda telafi edilmiş bir TLD kullanmamalısınız (bloguma bağır!). Bunun birkaç nedeni var.

1. wwwYukarıdaki işaret ettik sorunu. Can sıkıcı, ama bir anlaşma kırıcı değil.

2. Sizi , yalnızca içeriden değil, içeriden erişilebilen, halka açık tüm sunucular için yinelenen kayıtları tutmaya zorlar www. mail.hopelessnoob.comyaygın bir örnektir. İdeal bir senaryoda, mail.hopelessnoob.comveya gibi şeyler için ayrı bir çevre ağınız olur publicwebservice.hopelessnoob.com. Bazı yapılandırmalar ile İç ve Dış arayüzleri ile ASA gibi , ya gerek iç-inside NAT veya bölünmüş ufuk DNS zaten ancak web bakan kaynaklar saç tokası NAT sınır arkasında olmayan meşru bir çevre ağı ile büyük kuruluşlar için - bu gereksiz çalışmaya neden olur.

3. Bu senaryoyu hayal edin - hopelessnoob.comİçten ve dıştan içindesiniz . Sizinle ortak olduğunuz bir şirketiniz var example.comve onlar da aynı şeyi yapıyor - ufkunu dahili olarak AD'leriyle ve halka açık olan DNS ad alanlarıyla bölüştürüyorlar. Şimdi, siteden siteye VPN'i yapılandırıyorsunuz ve dış halka açık kaynaklarına İnternet üzerinden erişebilmek için tüneli geçme konusunda güven için dahili kimlik doğrulama istiyorsunuz. İnanılmaz derecede karmaşık bir politika yönlendirmesi yapmadan veya kendi iç DNS bölgenizi kendi kopyanızla tutmadan imkansız olanı şimdi - şimdi korumak için ek bir DNS kaydı seti oluşturdunuz. Eğer sonunda hairpinning ile anlaşma zorunda Yani veonların sonu, politika yönlendirme / NAT ve diğer her türlü hiledir. (Aslında kaldığım bir AD ile bu durumda idi).

4. DirectAccess'i hiç kullanmazsanız , ad çözümleme politikalarınızı büyük ölçüde basitleştirir - bu muhtemelen diğer split-tünel VPN teknolojileri için de geçerlidir.

Bunlardan bazıları kenar durumlarıdır, bazıları değildir, fakat hepsinden kolayca kaçınılır. Bunu baştan yapabilme yeteneğiniz varsa, on yıl içinde bunlardan birine rastlamamanız için doğru olanı da yapabiliriz.

Bu ifade: "Gerçekten, bulabildiğim tek gerekçe, harici web sitesine dahili olarak erişmenin SRV DNS kaydı gerektirmesi ve www. Bir tarayıcıda web sitesi adının önüne yazılması" doğru değil.

Bu , genel kayıtlarınızın tümünün bir kopyasını AD DNS sunucularınızda saklamanız gerektiği anlamına gelir ; bu, özellikle düzgün yapmazsanız sorunlara neden olabilir - bazılarını özledim, vb. com, ancak takma adı iç DNS'de oluşturmayı unutursunuz (veya doğru şekilde otomatikleştirmediyseniz), şirket içi kişiler genel FTP sitesine hiçbir şekilde ulaşamaz.

Bağlandığınız soruda bu oldukça iyi sonuçlandı: Windows Active Directory en iyi uygulama adlandırma?

DNS bölgelerinin birden fazla kopyasının saklanması, doğru şekilde çözmeniz için kolay bir sorunsa, o zaman sanırım istediğiniz şeyi yapabilirsiniz. MS onu kıran bir şeyi değiştirinceye kadar. Sen olabilir sadece kendi önerileri uygulayın.

Temsilciyi bugün uzun bir cevap oluşturacak kadar umursamıyorum ... bu yüzden kısa tutacağım.

Split ve dns ile iyi davranırdım ve Evan ve Mark beni başka türlü ikna edene kadar defalarca uygulardım. Dürüst olmak gerekirse, yapılamaz. ... olabilir ve bazıları onun için iyi olabilir (genel gider ve bunun için yapılan çalışmalara rağmen).

2 yıl önce benim için kullanmayacak şekilde katılaşmış olan bazı şeyler geldi:

1. Sorunuzda belirttiğiniz gibi, dahili kullanıcıların yalnızca etki alanı adı aracılığıyla harici web sitenize ulaşmalarına izin veremezsiniz. Bunun neden bu kadar önemli olduğunu sormayın, ancak wwwetki alanı kaydı AD etki alanına karşılık geldiğinden, yalnızca etki alanı adını tarayıcıya girmeden , asıl web sitesini açmayacak kadar canlı olan dahili kullanıcılarımız oldu. almak için bir wwwavuç değil ve dahili olarak OLMAMIŞTIR.
2. Değişim sorunları - Değişim AutoDiscover, kazanç alma konusunda başarısız olabilir ve hata isteyecektir. Bu hem dahili hem de harici olarak gerçekleşebilir. Exchange Org'umuzda "Dış Orman Posta Kutuları" başladığımızda bu daha da belirginleşti ve bizimkiyle aynı dahili DNS'yi görmediler.

Umarım yardımcı olur.