To był zabawny temat dyskusji na temat błędu serwera. Wydaje się, że na ten temat istnieją różne „poglądy religijne”.
Zgadzam się z zaleceniem Microsoftu : Użyj subdomeny już zarejestrowanej nazwy domeny internetowej firmy.
Tak więc, jeśli jesteś właścicielem foo.com
, użyj ad.foo.com
lub coś takiego.
Moim zdaniem najbardziej podła rzecz jest używanie zarejestrowanej nazwy domeny internetowej, dosłownie, dla nazwy domeny Active Directory. Powoduje to konieczność ręcznego kopiowania rekordów z Internetu DNS (np. www
) Do strefy DNS usługi Active Directory, aby umożliwić rozpoznanie nazw „zewnętrznych”. Widziałem całkowicie głupie rzeczy, takie jak IIS instalowane na każdym kontrolerze domeny w organizacji prowadzącej witrynę sieci Web, która dokonuje przekierowania w taki sposób, że ktoś wchodzący foo.com
do przeglądarki zostałby przekierowany www.foo.com
przez te instalacje IIS. Zupełnie głupota!
Korzystanie z nazwy domeny internetowej nie daje żadnych korzyści, ale tworzy „działaj” za każdym razem, gdy zmieniasz adresy IP, których dotyczą nazwy hostów zewnętrznych. (Spróbuj użyć geograficznie równoważonego obciążenia DNS dla hostów zewnętrznych i zintegruj to z taką sytuacją „podzielonego DNS”! Gee - to by było fajne ...)
Korzystanie z takiej subdomeny nie ma wpływu na takie rzeczy jak dostarczanie wiadomości e-mail Exchange lub sufiksy głównej nazwy użytkownika (UPN), BTW. (Często widzę oba wymienione jako wymówki dla używania nazwy domeny internetowej jako nazwy domeny AD).
Widzę też wymówkę, że „robi to wiele dużych firm”. Duże firmy mogą podejmować decyzje oparte na kościach równie łatwo (jeśli nie więcej) niż małe firmy. Nie kupuję tego tylko dlatego, że duża firma podejmuje złą decyzję, która w jakiś sposób sprawia, że jest to dobra decyzja.
corp
nie jest tak opisowa jakfoo
.Istnieją tylko dwie poprawne odpowiedzi na to pytanie.
Niewykorzystana subdomena domeny, której używasz publicznie. Na przykład, jeśli Twoja publiczna obecność w Internecie jest
example.com
Twoją wewnętrzną reklamą, może być nazwana jakad.example.com
lubinternal.example.com
.Niewykorzystana domena drugiego poziomu, której jesteś właścicielem i której nie używasz nigdzie indziej. Na przykład, jeśli Twoja publiczna obecność w Internecie to
example.com
twoja reklama może być nazwanaexample.net
tak długo, jak się zarejestrujeszexample.net
i nie używaj jej nigdzie indziej!To są twoje jedyne dwie możliwości. Jeśli robisz coś innego, narażasz się na wiele bólu i cierpienia.
Ale wszyscy używają .local!
Nie ma znaczenia Nie powinieneś Pisałem na blogu o użyciu .local i innych wymyślonych TLD, takich jak .lan i .corp . W żadnym wypadku nie powinieneś tego robić.
To nie jest bardziej bezpieczne. Nie są to „najlepsze praktyki”, jak twierdzą niektórzy ludzie. I nie ma żadnej przewagi nad dwoma opcjami, które zaproponowałem.
Ale chcę nazwać to tak samo, jak adres URL mojej publicznej witryny, aby moi użytkownicy byli
example\user
zamiast.ad\user
To jest ważna, ale myląca obawa. Podczas promowania pierwszego kontrolera domeny w domenie możesz ustawić nazwę NetBIOS domeny na dowolną. Jeśli zastosujesz się do moich rad i skonfigurujesz swoją domenę
ad.example.com
, możesz skonfigurować nazwę NetBIOS domenyexample
tak, aby użytkownicy logowali się jakoexample\user
.W lasach i relacjach zaufania w usłudze Active Directory można również tworzyć dodatkowe sufiksy UPN. Nic nie stoi na przeszkodzie, aby utworzyć @ example.com jako główny sufiks UPN dla wszystkich kont w domenie. Po połączeniu tego z poprzednim zaleceniem NetBIOS żaden użytkownik końcowy nigdy nie zobaczy, że nazwa FQDN Twojej domeny to
ad.example.com
. Wszystko, co zobaczą, będzieexample\
lub@example.com
. Jedynymi osobami, które będą musiały pracować z FQDN, są administratorzy systemów współpracujący z Active Directory.Załóżmy również, że używasz przestrzeni nazw DNS z dzielonym horyzontem, co oznacza, że nazwa AD jest taka sama jak publiczna witryna internetowa. Teraz użytkownicy nie mogą uzyskać
example.com
dostępu wewnętrznego, chyba że masz ich prefikswww.
w przeglądarce lub nie uruchomisz usług IIS na wszystkich kontrolerach domeny (to źle). Musisz także wyleczyć dwanieidentyczne strefy DNS, które dzielą rozłączną przestrzeń nazw. To naprawdę więcej kłopotów niż jest warte. Teraz wyobraź sobie, że masz partnerstwo z inną firmą, a oni również mają konfigurację DNS z dzielonym horyzontem z ich AD i ich obecnością zewnętrzną. Masz między nimi prywatne łącze światłowodowe i musisz utworzyć zaufanie. Teraz cały Twój ruch do którejkolwiek z publicznych witryn musi przechodzić przez prywatny link zamiast po prostu wychodzić przez Internet. Powoduje to również wszelkiego rodzaju problemy głowy dla administratorów sieci po obu stronach. Unikaj tego. Zaufaj mi.Ale ale, ale ...
Poważnie, nie ma powodu, aby nie używać jednej z dwóch rzeczy, które zasugerowałem. Każdy inny sposób ma pułapki. Nie mówię ci, abyś spieszył się ze zmianą nazwy domeny, jeśli działa i jest na swoim miejscu, ale jeśli tworzysz nową reklamę, zrób jedną z dwóch rzeczy, które zaleciłem powyżej.
źródło
Aby pomóc w odpowiedzi MDMarra:
NIGDY nie należy NIGDY używać nazwy DNS o pojedynczej etykiecie dla nazwy domeny. To było / jest dostępne przed Windows 2008 R2. Przyczyny / wyjaśnienia można znaleźć tutaj: Wdrażanie i działanie domen Active Directory, które są konfigurowane przy użyciu nazw DNS o pojedynczej etykiecie | Wsparcie Microsoft
Nie zapomnij NIE używać słów zastrzeżonych (tabela znajduje się w linku „Konwencje nazewnictwa” na dole tego postu), takich jak SYSTEM, WORLD lub RESTRICTED.
Zgadzam się również z Microsoftem, że powinieneś przestrzegać dwóch dodatkowych zasad (które nie są ugruntowane, ale nadal):
Na koniec zaleciłbym, abyś zastanowił się przez jak najdłuższy czas. Firmy przechodzą fuzje i przejęcia, nawet małe firmy. Pomyśl także o uzyskaniu pomocy / konsultacji z zewnątrz. Używaj nazw domen, struktury AD itp., Które będą łatwe do wyjaśnienia dla konsultantów lub ludzi tutaj na SF.
Linki wiedzy:
http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx
http://support.microsoft.com/kb/909264
http://support.microsoft.com/kb/300684/en-us
Bieżąca strona rekomendacji Microsoft (W2k12) dla nazwy domeny lasu głównego
źródło
Nie zgadzam się na używanie:
Mogę zaakceptować za pomocą:
Ale nie zrobiłbym tego sam ani nie poleciłbym tego. Podczas przejęcia firmy rebranding całego piekła zostaje uwolniony, szczególnie gdy zarząd w tym momencie chce, aby wszystko się zmieniło. Zmiana nazw migracji, zmiany są bardzo trudne lub kosztowne.
Najlepszym sposobem, który poleciłbym, jest zakup domeny, która nie ma znaczenia dla nazwy firmy, a także nie dotyczy marki firmy. SIMPLE.CLOUD lub podobny powinien działać dobrze, o ile możesz go posiadać.
Widziałem duże firmy z 150 tys. Użytkowników korzystających z AD, które wciąż odwołują się do starej firmy, którą kupili lata temu, lub firm, które zmieniły nazwy i chociaż na dłuższą metę nie ma znaczenia, że używasz \ login (jeśli nie możesz użyj UPN), nadal wygląda to źle przed zarządem, który nie rozumie, dlaczego zmiana tego nie jest trywialna.
źródło
Zawsze tak robię
mydomain.local
.local
nie jest prawidłową TLD, więc nigdy nie konkuruje z rzeczywistym publicznym wpisem DNS.Na przykład lubię być w stanie wiedzieć, że
web1.mydomain.local
rozwiąże to wewnętrzny adres IP serwera WWW, podczas gdyweb1.mydomain.com
przejdzie do zewnętrznego adresu IP.źródło
.local
zapytania młotkują na głównym serwerze L - ~ 800 / s, kiedy patrzyłem.