การตั้งชื่อฟอเรสต์ Active Directory ใหม่ - เหตุใดจึงไม่แนะนำ DNS แบบแบ่งส่วน

หวังว่าเราทุกคนจะรู้ว่าคำแนะนำในการตั้งชื่อฟอเรสต์ของ Active Directory คืออะไรและค่อนข้างง่าย กล่าวคือสามารถสรุปได้ในประโยคเดียว

ใช้โดเมนย่อยของชื่อโดเมนที่จดทะเบียนแล้วและเลือกโดเมนที่ไม่ได้ใช้จากภายนอก ตัวอย่างเช่นถ้าผมจะนำมารวมกันและลงทะเบียนhopelessn00b.comโดเมนป่า AD ภายในของฉันควรตั้งชื่อinternal.hopelessn00b.comหรือหรือad.hopelessn00b.comcorp.hopelessn00b.com

มีเหตุผลที่น่าสนใจอย่างท่วมท้นที่จะหลีกเลี่ยงการใช้ชื่อโดเมน "ป้ายกำกับ" ปลอมหรือชื่อป้ายกำกับเดียวแต่ฉันพบว่ามีเหตุผลที่น่าสนใจคล้ายกันในการหลีกเลี่ยงการใช้โดเมนรูท ( hopelessn00b.com) เป็นชื่อโดเมนของฉันและใช้โดเมนย่อยเช่นcorp.hopelessn00b.comแทน . จริงๆเหตุผลเดียวที่ฉันสามารถหาได้คือการเข้าถึงเว็บไซต์ภายนอกจากภายในต้องมี A nameการบันทึก DNS และพิมพ์www.ชื่อของเว็บไซต์ในเบราว์เซอร์ซึ่งเป็น "meh" สวยพอ ๆ กับปัญหาที่เกิดขึ้น

แล้วฉันจะพลาดอะไร ทำไมมันมากดีกว่าที่จะใช้ad.hopelessn00b.comเป็นชื่อป่าของ Active Directory ของฉันมากกว่าhopelessn00b.com?

เพียงเพื่อบันทึกเป็นนายจ้างของฉันจริง ๆ ที่ต้องเชื่อ - เจ้านายชายเป็น peddling กลับและหลังจากให้ฉันไปข้างหน้าเพื่อสร้าง AD ป่าใหม่ชื่อcorp.hopelessn00b'semployer.comสำหรับเครือข่ายภายในของเราเขาต้องการติดกับ AD ป่าชื่อhopelessn00b'semployer.com( เหมือนกับโดเมนที่ลงทะเบียนภายนอกของเรา) ฉันหวังว่าฉันจะได้รับเหตุผลที่น่าสนใจหรือเหตุผลที่วิธีปฏิบัติที่ดีที่สุดคือทางเลือกที่ดีกว่าดังนั้นฉันจึงสามารถโน้มน้าวเขาได้ว่า ... เพราะดูเหมือนจะง่ายกว่าการเลิกโกรธและ / หรือหางานใหม่อย่างน้อยสำหรับ ช่วงเวลาที่. ตอนนี้ "ไมโครซอฟท์ปฏิบัติที่ดีที่สุด" และภายในการเข้าถึงเว็บไซต์สาธารณะสำหรับ บริษัท ของเราดูเหมือนจะไม่ได้รับการตัดมันและฉันจริงๆ , จริงๆ , จริงๆหวังคนที่นี่มีอะไรบางอย่างที่น่าเชื่อ

ตัวแทนมากที่จะมี มาหาฉันมีค่า

ตกลงดังนั้นเอกสารของ Microsoft ค่อนข้างดีที่คุณไม่ควรใช้การแบ่งเส้นขอบฟ้าหรือ TLD ที่สร้างขึ้นเมื่อคุณเชื่อมโยงหลายครั้ง (ตะโกนออกไปยังบล็อกของฉัน!) มีเหตุผลบางประการสำหรับเรื่องนี้

1. wwwปัญหาที่คุณได้ชี้ให้เห็นข้างต้น น่ารำคาญ แต่ไม่ใช่การทำลายข้อตกลง

2. มันบังคับให้คุณสามารถรักษาระเบียนที่ซ้ำกันสำหรับทุกwwwเซิร์ฟเวอร์สาธารณะที่ยังสามารถเข้าถึงได้ภายในไม่เพียง mail.hopelessnoob.comเป็นตัวอย่างทั่วไป ในสถานการณ์ที่เหมาะคุณต้องการมีขอบเขตของเครือข่ายที่แยกต่างหากสำหรับสิ่งที่ต้องการหรือmail.hopelessnoob.com publicwebservice.hopelessnoob.comกับการกำหนดค่าบางอย่างเช่น ASA กับการเชื่อมต่อภายในและภายนอกคุณอาจต้องภายในภายใน NAT หรือแยกขอบฟ้า DNS อยู่แล้วแต่สำหรับองค์กรขนาดใหญ่ที่มีเครือข่ายปริมณฑลถูกต้องตามกฎหมายที่เป็นทรัพยากรเว็บหันหน้าของคุณจะไม่ได้อยู่เบื้องหลังขอบเขต NAT กิ๊บ - ทำให้งานไม่จำเป็น

3. ลองนึกภาพสถานการณ์นี้ - คุณอยู่hopelessnoob.comภายในและภายนอก คุณมี บริษัท ที่คุณเป็นพันธมิตรด้วยการเรียกexample.comและพวกเขาทำสิ่งเดียวกัน - แบ่งขอบฟ้าภายในด้วยโฆษณาของพวกเขาและกับ DNS เนมสเปซที่สาธารณชนสามารถเข้าถึงได้ ตอนนี้คุณกำหนดค่า VPN ไซต์ไปยังไซต์และต้องการการรับรองความถูกต้องภายในสำหรับความน่าเชื่อถือเพื่อสำรวจช่องทางในขณะที่มีการเข้าถึงทรัพยากรสาธารณะภายนอกเพื่อออกไปทางอินเทอร์เน็ต ถัดไปเป็นไปไม่ได้โดยไม่มีการกำหนดเส้นทางนโยบายที่ซับซ้อนอย่างไม่น่าเชื่อหรือเก็บสำเนาโซน DNS ภายในของคุณเอง - ตอนนี้คุณเพิ่งสร้างชุดระเบียน DNS เพิ่มเติมเพื่อรักษา ดังนั้นคุณต้องจัดการกับการปักผมในตอนท้ายและการสิ้นสุดการกำหนดนโยบาย / NAT และกลอุบายอื่น ๆ ทุกชนิด (จริง ๆ แล้วฉันอยู่ในสถานการณ์นี้ด้วยโฆษณาที่ฉันสืบทอด)

4. หากคุณเคยปรับใช้DirectAccessจะทำให้นโยบายการแก้ไขชื่อของคุณง่ายขึ้นอย่างมากซึ่งน่าจะเป็นจริงสำหรับเทคโนโลยี VPN แยกอุโมงค์อื่น ๆ เช่นกัน

บางกรณีเป็นแบบขอบบางอันไม่ได้ แต่ก็สามารถหลีกเลี่ยงได้ง่าย หากคุณมีความสามารถในการทำเช่นนี้ตั้งแต่ต้นอาจจะเป็นวิธีที่ถูกต้องเพื่อที่คุณจะได้ไม่ต้องเจอกับสิ่งใดสิ่งหนึ่งในทศวรรษนี้

ข้อความนี้: "จริง ๆ แล้วเหตุผลเดียวที่ฉันพบได้คือการเข้าถึงเว็บไซต์ภายนอกจากภายในต้องใช้ระเบียน SRV DNS และพิมพ์ www. หน้าชื่อเว็บไซต์ในเบราว์เซอร์" ไม่เป็นความจริง

หมายความว่าคุณต้องเก็บสำเนาบันทึกสาธารณะทั้งหมดของคุณในเซิร์ฟเวอร์ AD DNS ของคุณซึ่งอาจทำให้เกิดปัญหาโดยเฉพาะอย่างยิ่งถ้าคุณทำไม่ถูกต้อง - พลาดบางอย่าง ฯลฯ หากมีคนต้องการไปที่ ftp.company com แต่คุณลืมที่จะสร้างนามแฝงใน DNS ภายใน (หรือทำงานอัตโนมัติไม่ถูกต้อง) บุคคลภายในองค์กรไม่สามารถเข้าเว็บไซต์ FTP สาธารณะได้เลย

นี่เป็นคำถามที่คุณเชื่อมโยงกับ: Windows Active Directory การตั้งชื่อวิธีปฏิบัติที่ดีที่สุดใช่หรือไม่

หากการบำรุงรักษาโซน DNS หลายชุดเป็นปัญหาง่ายสำหรับคุณที่จะแก้ไขอย่างถูกต้องตลอดไปจากนั้นฉันคิดว่าคุณสามารถทำสิ่งที่คุณต้องการได้ จนกว่า MS จะเปลี่ยนสิ่งที่ทำลาย คุณสามารถทำตามคำแนะนำของพวกเขา

ฉันไม่สนใจเกี่ยวกับตัวแทนเพื่อสร้างคำตอบนาน ๆ ในวันนี้ดังนั้นฉันจะทำให้มันสั้น

ฉันเคยดีกับ split-dns และนำไปใช้หลายครั้งจนกระทั่ง Evan และ Mark เชื่อฉันเป็นอย่างอื่น มันไม่ตรงไปตรงมาไม่สามารถทำได้ ... ทำได้และบางคนก็ใช้ได้ดี (แม้จะมีค่าใช้จ่ายและงานที่ทำอยู่)

2 สิ่งที่เฉพาะเจาะจงเกิดขึ้นเมื่อหลายปีก่อนสำหรับฉันที่หล่อไม่ใช้:

1. เช่นเดียวกับที่คุณระบุไว้ในคำถามของคุณคุณไม่สามารถอนุญาตให้ผู้ใช้ภายในเข้าถึงเว็บไซต์ภายนอกของคุณผ่านชื่อโดเมนได้ อย่าถามว่าทำไมมันถึงเป็นเรื่องใหญ่ แต่เรามีผู้ใช้ภายในที่จะได้สีสันที่พิมพ์แค่ชื่อโดเมนลงในเบราว์เซอร์โดยไม่ต้องwwwนำเว็บไซต์จริงขึ้นมาเนื่องจากระเบียนโดเมนสอดคล้องกับโดเมนโฆษณาและ ไม่ใช่สิ่งที่น่าติดตามสำหรับการเดินทางไปwwwและไม่สามารถเป็นการภายในได้
2. ปัญหาการแลกเปลี่ยน - Exchange AutoDiscover สามารถไม่สามารถรับ certs และจะแจ้งข้อผิดพลาด สิ่งนี้สามารถเกิดขึ้นได้ทั้งภายในและภายนอก สิ่งนี้ชัดเจนยิ่งขึ้นเมื่อเราเริ่มมี "กล่องรับจดหมายจากภายนอก" ในองค์กรแลกเปลี่ยนของเราและพวกเขาไม่เห็น DNS ภายในเหมือนที่เรามี

หวังว่าจะช่วย