Windows Active Directory adlandırma en iyi yöntemleri?

89

Bu, Active Directory etki alanı adlandırma hakkında Kanonik bir Soru .

Sanal bir ortamda, Windows etki alanları ve etki alanı denetleyicileri denemeler sonra, bir DNS etki alanına aynı adlı bir aktif dizin domain sahip olan bu Anlam kötü bir fikir (olduğunu farkettim example.combiz varken Active Directory adı olarak iyi değil example.comalan adı web sitemiz olarak kullanılmak üzere kayıtlıdır).

Bu ilgili soru , bu sonucu desteklemektedir , ancak Active Directory etki alanlarını adlandırmak konusunda başka hangi kuralların bulunduğundan hala emin değilim.

Bir Active Directory adının ne olması gerektiğiyle ilgili olmamasına ilişkin en iyi uygulamalar var mı?

windows  active-directory  best-practices 
Anton Gogolev
kaynak

Yanıtlar:

98

Bu, Sunucu Hatası ile ilgili eğlenceli bir tartışma konusu oldu. Konuyla ilgili çeşitli "dini görüşler" olduğu görülüyor.

Microsoft'un önerisine katılıyorum : Şirketin önceden kaydedilmiş İnternet etki alanı adının bir alt etki alanını kullanın.

Yani, sahipseniz foo.com, kullanın ad.foo.comya da böyle.

Gördüğüm gibi en aşağılık şey, Active Directory etki alanı adı için kayıtlı Internet etki alanı adını, verbatim'i kullanmak. Bu, www"harici" adların çözülmesine izin vermek için Internet DNS'den (gibi ) kayıtları Active Directory DNS bölgesine el ile kopyalamanıza zorlanmanıza neden olur . foo.comTarayıcılarına giren birinin www.foo.combu IIS kurulumları tarafından yönlendirileceği şekilde yönlendiren bir web sitesi çalıştıran bir kuruluşta her DC'de yüklü IIS gibi tamamen aptalca şeyler gördüm . Mutlak aptallık!

Internet etki alanı adını kullanmak size avantaj kazandırmaz, ancak harici ana bilgisayar adlarının başvurduğu IP adreslerini her değiştirdiğinizde "iş yapar" oluşturur. (Harici ana bilgisayarlar için coğrafi olarak yüke duyarlı DNS kullanmayı ve bunu "bölünmüş bir DNS" durumuyla entegre etmeyi deneyin! Gee-- bu eğlenceli olurdu ...)

Böyle bir alt etki alanının kullanılması, Exchange e-posta teslimi veya Kullanıcı Asıl Adı (UPN) ekleri, BTW gibi şeyler üzerinde hiçbir etkiye sahip değildir. (İnternet etki alanı adını AD etki alanı adı olarak kullanmak için her ikisinin de bahane olarak belirtilenleri sık sık görüyorum.)

Bahaneyi "birçok büyük şirketin yaptığını" görüyorum. Büyük şirketler, kemiksiz kararları küçük şirketlerden daha kolay (moreso değilse) yapabilir. Bunu satın almıyorum, çünkü büyük bir şirket, bir şekilde iyi bir karar olmasına yol açan kötü bir karar verdiğinden dolayı.

Evan Anderson
kaynak
2
Ama sonra etki alanının NetBIOS adı değil ... peki, güzel :) corpkadar açıklayıcı değil foo.
Anton Gogolev
34
Yine de istediğiniz NetBIOS adını atayabilirsiniz. Müşterilerimin çoğunda "ad.example.com" gibi adlar var, ancak NetBIOS adı "ÖRNEK". DCPROMO, sizden NetBIOS adının etki alanı oluşturulması sırasında ne olmasını istediğinizi soracaktır.
Evan Anderson
5
Bunu yaparsanız, joker karakter içeren alanlarla ilgili sorunlara dikkat edin. * .Foo.com'a sahip olduğunuzda, host.internal.foo.com bazı durumlarda eşleşecektir
JamesRyan
2
AD etki alanı adını kullanıcıların e-posta adresi soneki olarak kullanmanızı gerektiren herhangi bir e-posta sunucusu ürününün farkında değilim. Exchange, AD etki alanı adı ile e-posta adresi son ekleri arasında hiçbir zaman bir korelasyon gerektirmedi.
Evan Anderson,
2
Office365 yalnızca kullanıcıların kiracı etki alanınızla eşleşen bir son eki olan UPN'leriyle oturum açmasını gerektirir. Varsayılan Exchange posta kutusu adres politikası herhangi bir şey olarak tanımlanabildiğinden, UPN sonekiniz gibi önemsizdir. Şirketimiz olarak EXAMPLE.COM (ve Office365'te kiracı), orman olarak EXAMPLE.NET (ayrıca kayıtlı), birincil hesap alanı olarak CORP.EXAMPLE.NET (diğer bölgesel alt alanlarla, örneğin EU.EXAMPLE) sahibiz. NET) NetBIOS adı olarak ÖRNEK olan, orman Değişim kurumundaki tüm kullanıcılar UPN ve e-posta için Name@EXAMPLE.COM kullanır. Office365 bu konuda tamamen mutlu.
Ryan Fisher
89

Bu sorunun sadece iki doğru cevabı var.

  1. Genel olarak kullandığınız bir etki alanının kullanılmayan bir alt etki alanı. Örneğin, genel web example.comsitenizin dahili AD olması durumunda, ad.example.comveya benzeri bir ad verilmiş olabilir internal.example.com.

  2. Sahip olduğunuz ve başka hiçbir yerde kullanmadığınız kullanılmayan, ikinci seviye bir etki alanı . Örneğin, herkese açık web example.comsiteniz AD ise , kayıt olduğunuz ve başka bir yerde kullanmadığınız sürece adlandırılmış olabilir !example.net example.net

Bunlar sadece iki seçeneğin. Başka bir şey yaparsanız, kendinizi çok acı ve acı çekmeye açık bırakıyorsunuz.

Ama herkes .local kullanır!
Önemli değil. Yapmamalısın. .Local ve diğerlerinin .lan ve .corp gibi TLD'leri kullanmasıyla ilgili blog yazdım . Hiçbir koşulda bunu asla yapmamalısınız.

Daha güvenli değil. Bazılarının iddia ettiği gibi "en iyi uygulamalar" değildir. Ve önerdiğim iki seçenek üzerinde bir faydası yok .

Ancak bunu, genel web sitemin URL’siyle aynı şekilde isimlendirmek istiyorum; böylece kullanıcılar example\userbunun yerinead\user
geçerli, ancak yanlış yönlendirilmiş bir endişedir. Bir etki alanındaki ilk DC'yi yükselttiğinizde, etki alanının NetBIOS adını istediğiniz gibi ayarlayabilirsiniz. Tavsiyemi izlerseniz ve etki alanınızı olacak şekilde ayarlarsanız ad.example.com, alan adının NetBIOS adını examplekullanıcılarınızın oturum açacak şekilde yapılandırabilirsiniz example\user.

Active Directory Ormanları ve Güvenleri'nde, ek UPN sonekleri de oluşturabilirsiniz. Etki alanınızdaki tüm hesapların birincil UPN soneki olarak @ example.com'u oluşturmanızı ve ayarlamanızı engelleyen hiçbir şey yoktur. Bunu önceki NetBIOS önerisiyle birleştirdiğinizde, hiçbir son kullanıcı, alanınızın FQDN'sinin olduğunu göremez ad.example.com. Gördükleri her şey example\ya da olacak @example.com. FQDN ile çalışması gereken tek kişi Active Directory ile çalışan sistem yöneticileridir.

Ayrıca, bölünmüş ufukta bir DNS ad alanı kullandığınızı varsayalım; bu, AD adınızın halka açık web sitenizle aynı olduğu anlamına gelir. Artık, tarayıcılarında example.comöneki olmadıkça www.veya tüm etki alanı denetleyicilerinizde IIS çalıştırmadıkça , kullanıcılarınız dahili olarak erişemez (bu kötüdür). Ayrıca iki küratörlüğün varayrık bir ad alanını paylaşan aynı olmayan DNS bölgeleri. Gerçekten değerinden daha fazla güçlük var. Şimdi, başka bir şirketle bir ortaklığınız olduğunu ve aynı zamanda AD’leri ve dış varlıklarıyla birlikte bir ufuk DNS yapılandırmasına sahip olduklarını hayal edin. İkisi arasında özel bir fiber bağlantınız var ve bir güven yaratmanız gerekiyor. Artık, herhangi bir kamuya açık siteye giden tüm trafiğiniz, yalnızca İnternet üzerinden çıkmak yerine, özel bağlantıdan geçmek zorunda. Ayrıca her iki taraftaki ağ yöneticileri için her türlü baş ağrısı yaratır. Bundan kaçının. Güven Bana.

Ama ama ama ...
Cidden, önerdiğim iki şeyden birini kullanmamak için hiçbir sebep yok. Başka bir şekilde tuzaklar vardır. İşlevsel ve yerinde ise etki alanı adınızı değiştirmek için acele etmenizi söylemiyorum, ancak yeni bir AD oluşturuyorsanız, yukarıda önerdiğim iki şeyden birini yapın.

MDMarra
kaynak
2
Küçük bir nokta - yönlendirmeye hizmet etmek için IIS'den çok daha küçük, daha hızlı ve güvenli bir şey kullanabilirsiniz. Haproxy veya nginx bile büyük olasılıkla overkill - apache2 gibi tam özellikli bir sunucu.
OrangeDog,
9
Bu doğru, ama hepsi özensiz ve gereksiz.
MDMarra
Uuuuw evet, birileri local.net.net alanını aniden kaydettiğinde ve NXDOMAIN'i sessizce alan tüm yazıcıların aniden yanıt vermemesi çok acı vericiydi. Bu komik bir soruşturmaydı ...
Johannes,
.Local'ın "telafi edilmediğini" not edebilir miyim, aslında saklıdır; sadece bu tür bir kullanım için değil: en.wikipedia.org/wiki/.local
mikebabcock 11:15
Bu yazıldığı sırada, rezerve edilmedi.
MDMarra
34

MDMarra'nın cevabına yardımcı olmak için:

Sen gerektiğini bir tek etiketli DNS adını kullanmak ASLA ya da alan adı için. Bu, Windows 2008 R2'den önce mevcuttu / mevcuttu. Nedenler / açıklamalar burada bulunabilir: Tek etiketli DNS adları kullanılarak yapılandırılmış Active Directory etki alanlarının dağıtımı ve çalışması | Microsoft Desteği

Ayrılmış sözcükleri KULLANMAYINIZ'ı unutmayın (bir tablonun bu yazının altındaki "Adlandırma Kuralları" bağlantısına dahil edilmiştir), örneğin SYSTEM veya WORLD veya RESTRICTED.

Ayrıca, iki ek kurala uymanız gerektiğine (taşla ayarlanmamış ancak yine de): Microsoft'a katılıyorum:

  1. Etki alanınızı, değişecek veya eskimiş olacak bir şeye göre adlandırmamalısınız. Örnek olarak etki alanınızı bir ürün hattından, işletim sisteminden veya zaman içinde değişmesi muhtemel olan herhangi bir şeyden sonra adlandırmak yer alır. Coğrafi veya somut bir şeyle yola çıkarak 5 veya 10 yıl boyunca yoluna devam edin.
  2. 15 veya daha az karakterden oluşan kısa adlara sahip olsanız, bu, NETBIOS adının kolayca alan adıyla aynı olmasını sağlar.

Son olarak, mümkün olduğunca uzun vadeli düşünmenizi tavsiye ederim. Şirketler birleşme ve devralmalar, hatta küçük şirketler üzerinden geçiyor. Ayrıca dış yardım alma / danışma konusunda da düşünün. Alandaki isimleri, AD yapısını vb. Kullanın, bu yüzden SF'de bulunan danışmanlara veya insanlara çok fazla çaba göstermeden açıklanacaktır.

Bilgi bağlantıları:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

Microsoft'un şu anki (W2k12) kök ormanı etki alanı adı için öneri sayfası

Temizleyici
kaynak
2

Kullanarak katılmıyorum:

  • example.com - diğer cevaplarda daha önce belirtilen sebeplerden dolayı

Kullanarak kabul edebilirim:

  • ad.example.com - - diğer cevaplarda daha önce belirtilen sebeplerden dolayı

Ama ben kendim yapmaz ya da tavsiye etmezdim. Şirketin devralınması sırasında, özellikle bu noktada yönetim işleri hemen değiştirmek istediğinde, tüm cehennem kırılmalarının yeniden dağılması gevşetiliyor. Göçleri yeniden adlandırma, değişiklikler çok zor veya pahalıdır.

Tavsiye edebileceğim en iyi yol, şirket adıyla ilgisi olmayan ve aynı zamanda şirketin markasıyla da ilgili olmayan bir alan adı satın almak. SIMPLE.CLOUD veya benzeri, sahip olabileceğiniz sürece iyi yapmalıdır .

Yıllar önce satın aldıkları eski şirkete atıfta bulunan AD kullanan 150k kullanıcılı büyük şirketleri veya uzun vadede \ login kullanıyorsanız, isimlerini değiştiren ve uzun vadede önemli olmasa da şirketleri gördüm. UPN kullanın) neden değiştirmenin önemsiz olmadığını anlamayan yönetim önünde hala kötü görünüyor.

Deli Oğlan
kaynak
-16

Ben her zaman yaparım mydomain.local.

local geçerli bir TLD değil, bu nedenle gerçek bir genel DNS girişi ile rekabet etmez.

Örneğin, web1.mydomain.localbir web sunucusunun iç IP'sine web1.mydomain.comçözüleceğini, dış IP'ye çözüleceğini bilmeyi seviyorum .

Portman
kaynak
8
FWIW, .localsorgular kök L-sunucusunda çekiç - baktığımda ~ 800 / sn.
jscott
2
dot.Local, AKA dot.Fail
PnP
2
Geçersiz bir TLD (veya kayıtsız bir etki alanı) kullanmak, yukarıda belirtilen tüm nedenlerden ötürü en iyi yöntem değildir, en kötü yöntemdir. .Local kullandığımı itiraf edeceğim, ama bu daha iyisini bilmeden önceydi.
Jonathan J
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.