มีคำตอบที่ถูกต้องเพียงสองข้อสำหรับคำถามนี้
โดเมนย่อยที่ไม่ได้ใช้ของโดเมนที่คุณใช้แบบสาธารณะ ตัวอย่างเช่นถ้านำเว็บสาธารณะของคุณเป็นexample.com
AD ภายในของคุณอาจจะตั้งชื่อสิ่งที่ต้องการหรือad.example.com
internal.example.com
โดเมนระดับที่สองที่ไม่ได้ใช้ซึ่งคุณเป็นเจ้าของและไม่ใช้ที่อื่น ตัวอย่างเช่นหากการแสดงตนทางเว็บสาธารณะของคุณคือexample.com
โฆษณาของคุณอาจมีชื่อexample.net
ตราบเท่าที่คุณได้ลงทะเบียนexample.net
และไม่ได้ใช้ที่อื่น!
นี่เป็นเพียงสองทางเลือกของคุณ หากคุณทำอย่างอื่นคุณจะปล่อยให้ตัวเองเปิดรับความเจ็บปวดและความทุกข์ทรมานมากมาย
แต่ทุกคนใช้. local!
ไม่เป็นไร คุณไม่ควร ฉัน blogged เกี่ยวกับการใช้. local และ TLD อื่น ๆ ที่สร้างขึ้นเช่น. llan และ . corp ไม่ว่าในสถานการณ์ใดคุณไม่ควรทำเช่นนี้
มันไม่ปลอดภัยกว่า ไม่ใช่ "แนวปฏิบัติที่ดีที่สุด" เหมือนที่บางคนอ้าง และมันไม่มีประโยชน์ใด ๆกับสองทางเลือกที่ฉันเสนอ
แต่ฉันต้องการตั้งชื่อให้เหมือนกับ URL ของเว็บไซต์สาธารณะของฉันเพื่อให้ผู้ใช้ของฉันexample\user
แทนที่จะad\user
เป็นนี่เป็นข้อกังวลที่ถูกต้อง แต่เข้าใจผิด เมื่อคุณโปรโมต DC แรกในโดเมนคุณสามารถตั้งชื่อ NetBIOS ของโดเมนเป็นสิ่งที่คุณต้องการ ถ้าคุณทำตามคำแนะนำของฉันและการตั้งค่าโดเมนของคุณเพื่อให้ad.example.com
คุณสามารถกำหนดค่าชื่อ NetBIOS ของโดเมนจะเป็นเพื่อให้ผู้ใช้ของคุณจะเข้าสู่ระบบในฐานะexample
example\user
ใน Active Directory Forests and Trusts คุณสามารถสร้างส่วนต่อท้าย UPN เพิ่มเติมได้เช่นกัน ไม่มีอะไรที่ห้ามไม่ให้คุณสร้างและตั้งค่า @ example.com เป็นส่วนต่อท้าย UPN หลักสำหรับบัญชีทั้งหมดในโดเมนของคุณ เมื่อคุณรวมสิ่งนี้กับคำแนะนำ NetBIOS ก่อนหน้านี้ผู้ใช้ปลายทางจะไม่เห็นว่า FQDN ของโดเมนของคุณคือad.example.com
อะไร ทุกอย่างที่พวกเขาเห็นจะเป็นหรือexample\
@example.com
คนเท่านั้นที่จะต้องทำงานกับ FQDN คือผู้ดูแลระบบที่ทำงานกับ Active Directory
นอกจากนี้สมมติว่าคุณใช้เนมสเปซ DNS แบบแบ่งส่วนซึ่งหมายความว่าชื่อโฆษณาของคุณเหมือนกับเว็บไซต์สาธารณะของคุณ ในตอนนี้ผู้ใช้ของคุณจะไม่สามารถเข้าสู่example.com
ภายในได้หากคุณไม่มีส่วนนำหน้าwww.
ในเบราว์เซอร์หรือคุณเรียกใช้ IIS บนตัวควบคุมโดเมนทั้งหมดของคุณ (ซึ่งไม่ดี) คุณยังต้องดูแลสองโซน DNS ที่ไม่เหมือนกันที่ใช้เนมสเปซที่ไม่เป็นร่วม มันยุ่งยากมากกว่าที่คุ้มค่าจริงๆ ตอนนี้ลองนึกภาพว่าคุณมีหุ้นส่วนกับ บริษัท อื่นและพวกเขายังมีการกำหนดค่า DNS แบบแยกส่วนด้วยโฆษณาและสถานะภายนอกของพวกเขา คุณมีลิงค์ใยส่วนตัวระหว่างสองและคุณต้องสร้างความไว้วางใจ ตอนนี้การรับส่งข้อมูลทั้งหมดของคุณไปยังไซต์สาธารณะใด ๆ ของพวกเขาจะต้องเข้าไปที่ลิงก์ส่วนตัวแทนที่จะออกไปทางอินเทอร์เน็ต นอกจากนี้ยังสร้างปวดหัวทุกชนิดสำหรับผู้ดูแลระบบเครือข่ายทั้งสองด้าน หลีกเลี่ยงสิ่งนี้ เชื่อฉัน.
แต่ แต่ ...
อย่างจริงจังไม่มีเหตุผลที่จะไม่ใช้หนึ่งในสองสิ่งที่ฉันแนะนำ วิธีอื่นใดมีข้อผิดพลาด ฉันไม่ได้บอกให้คุณรีบเปลี่ยนชื่อโดเมนหากใช้งานได้จริง แต่ถ้าคุณกำลังสร้างโฆษณาใหม่ให้ทำหนึ่งในสองสิ่งที่ฉันแนะนำข้างต้น
corp
ไม่ได้อธิบายอย่างที่อธิบายfoo
ไว้