Windows Active Directory การตั้งชื่อวิธีปฏิบัติที่ดีที่สุด

89

นี่เป็นคำถาม Canonicalเกี่ยวกับการตั้งชื่อโดเมน Active Directory

หลังจากการทดลองกับโดเมน Windows และตัวควบคุมโดเมนในสภาพแวดล้อมเสมือนฉันได้ตระหนักว่าการมีโดเมนไดเรกทอรีที่ใช้งานอยู่ที่ชื่อเหมือนกันกับโดเมน DNS เป็นความคิดที่ไม่ดี (หมายความว่าการมีexample.comชื่อ Active Directory นั้นไม่ดีเมื่อเรามีexample.comชื่อโดเมน ลงทะเบียนเพื่อใช้เป็นเว็บไซต์ของเรา)

คำถามที่เกี่ยวข้องนี้ดูเหมือนจะสนับสนุนข้อสรุปดังกล่าว แต่ฉันยังไม่แน่ใจเกี่ยวกับกฎระเบียบอื่น ๆ ที่มีรอบการตั้งชื่อโดเมน Active Directory

มีแนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับชื่อ Active Directory ที่ควรหรือไม่

windows  active-directory  best-practices 
Anton Gogolev
แหล่งที่มา

คำตอบ:

98

นี่เป็นหัวข้อสนุกของการอภิปรายเกี่ยวกับข้อบกพร่องของเซิร์ฟเวอร์ ดูเหมือนจะมี "มุมมองทางศาสนา" ที่แตกต่างกันในหัวข้อ

ฉันเห็นด้วยกับคำแนะนำของ Microsoft : ใช้โดเมนย่อยของชื่อโดเมนอินเทอร์เน็ตที่ลงทะเบียนแล้วของ บริษัท

ดังนั้นหากคุณเป็นเจ้าของfoo.comใช้งานad.foo.comหรือใช้งานบางอย่าง

สิ่งที่เลวร้ายที่สุดที่ฉันเห็นคือการใช้ชื่อโดเมนอินเทอร์เน็ตที่ลงทะเบียนคำต่อคำสำหรับชื่อโดเมน Active Directory สิ่งนี้ทำให้คุณถูกบังคับให้คัดลอกระเบียนจาก Internet DNS (เช่นwww) ลงในโซน Active Directory DNS เพื่ออนุญาตให้แก้ไขชื่อ "ภายนอก" ฉันได้เห็นสิ่งที่โง่ที่สุดอย่าง IIS ที่ติดตั้งไว้ใน DC ทุกแห่งในองค์กรที่ใช้งานเว็บไซต์ที่ทำการเปลี่ยนเส้นทางซึ่งบางคนที่เข้าfoo.comสู่เบราว์เซอร์จะถูกเปลี่ยนเส้นทางwww.foo.comโดยการติดตั้ง IIS เหล่านี้ ความโง่ที่สุด!

การใช้ชื่อโดเมนอินเทอร์เน็ตจะทำให้คุณไม่มีข้อได้เปรียบ แต่สร้าง "ทำงาน" ทุกครั้งที่คุณเปลี่ยนที่อยู่ IP ที่ชื่อโฮสต์ภายนอกอ้างถึง (ลองใช้ DNS ที่มีความสมดุลทางภูมิศาสตร์สำหรับโฮสต์ภายนอกและรวมเข้ากับสถานการณ์ "split DNS" เช่นกัน Gee - นั่นคงจะสนุก ... )

การใช้โดเมนย่อยดังกล่าวจะไม่มีผลกับสิ่งต่าง ๆ เช่นการส่งอีเมล Exchange หรือส่วนต่อท้ายชื่อผู้ใช้ (UPN), BTW (ฉันมักเห็นว่าทั้งคู่อ้างว่าเป็นข้อแก้ตัวในการใช้ชื่อโดเมนอินเทอร์เน็ตเป็นชื่อโดเมนโฆษณา)

ฉันยังเห็นข้อแก้ตัวว่า "บริษัท ใหญ่ ๆ มากมายทำเช่นนั้น" บริษัท ขนาดใหญ่สามารถตัดสินใจได้อย่างง่ายดาย (ถ้าไม่ใช่ moreso) มากกว่า บริษัท ขนาดเล็ก ฉันไม่ซื้อเพราะ บริษัท ขนาดใหญ่ตัดสินใจไม่ถูกต้องซึ่งทำให้ บริษัท ตัดสินใจได้ดี

Evan Anderson
แหล่งที่มา
2
แต่แล้วชื่อ NetBIOS ของโดเมนไม่ได้เป็น ... เอ่อใช่เลย :) corpไม่ได้อธิบายอย่างที่อธิบายfooไว้
Anton Gogolev
33
คุณสามารถกำหนดชื่อ NetBIOS ใดก็ได้ที่คุณต้องการ ลูกค้าของฉันหลายคนมีชื่อเช่น "ad.example.com" แต่ชื่อ NetBIOS คือ "ตัวอย่าง" DCPROMO จะแจ้งให้คุณทราบว่าคุณต้องการให้ชื่อ NetBIOS เป็นอะไรในระหว่างการสร้างโดเมน
Evan Anderson
5
หากคุณทำเช่นนี้ระวังปัญหาเกี่ยวกับโดเมนที่มีอักขระตัวแทน เมื่อคุณได้ * .foo.com, host.internal.foo.com จะตรงกับมันในบางสถานการณ์
JamesRyan
2
ฉันไม่ทราบว่าผลิตภัณฑ์เซิร์ฟเวอร์อีเมลใดที่ต้องการให้คุณใช้ชื่อโดเมนโฆษณาเป็นคำต่อท้ายที่อยู่อีเมลของผู้ใช้ การแลกเปลี่ยนไม่จำเป็นต้องมีความสัมพันธ์ใด ๆ ระหว่างชื่อโดเมน AD และส่วนต่อท้ายที่อยู่อีเมล
Evan Anderson
2
Office365 กำหนดให้ผู้ใช้ของคุณเข้าสู่ระบบด้วย UPN ด้วยคำต่อท้ายที่ตรงกับโดเมนผู้เช่าของคุณ เนื่องจากนโยบายที่อยู่กล่องจดหมาย Exchange เริ่มต้นสามารถกำหนดเป็นอะไรก็ได้เช่นเดียวกับส่วนต่อท้าย UPN ของคุณจึงเป็นเรื่องเล็กน้อย เรามี EXAMPLE.COM เป็นชื่อ บริษัท ของเรา (และผู้เช่าใน Office365), EXAMPLE.NET (จดทะเบียนเช่นกัน) เป็นฟอเรสต์ CORP.EXAMPLE.NET เป็นโดเมนบัญชีหลัก (พร้อมโดเมนย่อยในภูมิภาคอื่น ๆ เช่น EU.EXAMPLE NET) โดยมี EXAMPLE เป็นชื่อ NetBIOS ผู้ใช้ทั้งหมดในฟอเรสต์ Exchange org ใช้ Name@EXAMPLE.COM สำหรับ UPN และสำหรับอีเมล Office365 มีความสุขอย่างสมบูรณ์แบบด้วยสิ่งนี้
Ryan Fisher
89

มีคำตอบที่ถูกต้องเพียงสองข้อสำหรับคำถามนี้

  1. โดเมนย่อยที่ไม่ได้ใช้ของโดเมนที่คุณใช้แบบสาธารณะ ตัวอย่างเช่นถ้านำเว็บสาธารณะของคุณเป็นexample.comAD ภายในของคุณอาจจะตั้งชื่อสิ่งที่ต้องการหรือad.example.cominternal.example.com

  2. โดเมนระดับที่สองที่ไม่ได้ใช้ซึ่งคุณเป็นเจ้าของและไม่ใช้ที่อื่น ตัวอย่างเช่นหากการแสดงตนทางเว็บสาธารณะของคุณคือexample.comโฆษณาของคุณอาจมีชื่อexample.net ตราบเท่าที่คุณได้ลงทะเบียนexample.netและไม่ได้ใช้ที่อื่น!

นี่เป็นเพียงสองทางเลือกของคุณ หากคุณทำอย่างอื่นคุณจะปล่อยให้ตัวเองเปิดรับความเจ็บปวดและความทุกข์ทรมานมากมาย

แต่ทุกคนใช้. local!
ไม่เป็นไร คุณไม่ควร ฉัน blogged เกี่ยวกับการใช้. local และ TLD อื่น ๆ ที่สร้างขึ้นเช่น. llan และ . corp ไม่ว่าในสถานการณ์ใดคุณไม่ควรทำเช่นนี้

มันไม่ปลอดภัยกว่า ไม่ใช่ "แนวปฏิบัติที่ดีที่สุด" เหมือนที่บางคนอ้าง และมันไม่มีประโยชน์ใด ๆกับสองทางเลือกที่ฉันเสนอ

แต่ฉันต้องการตั้งชื่อให้เหมือนกับ URL ของเว็บไซต์สาธารณะของฉันเพื่อให้ผู้ใช้ของฉันexample\userแทนที่จะad\user
เป็นนี่เป็นข้อกังวลที่ถูกต้อง แต่เข้าใจผิด เมื่อคุณโปรโมต DC แรกในโดเมนคุณสามารถตั้งชื่อ NetBIOS ของโดเมนเป็นสิ่งที่คุณต้องการ ถ้าคุณทำตามคำแนะนำของฉันและการตั้งค่าโดเมนของคุณเพื่อให้ad.example.comคุณสามารถกำหนดค่าชื่อ NetBIOS ของโดเมนจะเป็นเพื่อให้ผู้ใช้ของคุณจะเข้าสู่ระบบในฐานะexampleexample\user

ใน Active Directory Forests and Trusts คุณสามารถสร้างส่วนต่อท้าย UPN เพิ่มเติมได้เช่นกัน ไม่มีอะไรที่ห้ามไม่ให้คุณสร้างและตั้งค่า @ example.com เป็นส่วนต่อท้าย UPN หลักสำหรับบัญชีทั้งหมดในโดเมนของคุณ เมื่อคุณรวมสิ่งนี้กับคำแนะนำ NetBIOS ก่อนหน้านี้ผู้ใช้ปลายทางจะไม่เห็นว่า FQDN ของโดเมนของคุณคือad.example.comอะไร ทุกอย่างที่พวกเขาเห็นจะเป็นหรือexample\ @example.comคนเท่านั้นที่จะต้องทำงานกับ FQDN คือผู้ดูแลระบบที่ทำงานกับ Active Directory

นอกจากนี้สมมติว่าคุณใช้เนมสเปซ DNS แบบแบ่งส่วนซึ่งหมายความว่าชื่อโฆษณาของคุณเหมือนกับเว็บไซต์สาธารณะของคุณ ในตอนนี้ผู้ใช้ของคุณจะไม่สามารถเข้าสู่example.comภายในได้หากคุณไม่มีส่วนนำหน้าwww.ในเบราว์เซอร์หรือคุณเรียกใช้ IIS บนตัวควบคุมโดเมนทั้งหมดของคุณ (ซึ่งไม่ดี) คุณยังต้องดูแลสองโซน DNS ที่ไม่เหมือนกันที่ใช้เนมสเปซที่ไม่เป็นร่วม มันยุ่งยากมากกว่าที่คุ้มค่าจริงๆ ตอนนี้ลองนึกภาพว่าคุณมีหุ้นส่วนกับ บริษัท อื่นและพวกเขายังมีการกำหนดค่า DNS แบบแยกส่วนด้วยโฆษณาและสถานะภายนอกของพวกเขา คุณมีลิงค์ใยส่วนตัวระหว่างสองและคุณต้องสร้างความไว้วางใจ ตอนนี้การรับส่งข้อมูลทั้งหมดของคุณไปยังไซต์สาธารณะใด ๆ ของพวกเขาจะต้องเข้าไปที่ลิงก์ส่วนตัวแทนที่จะออกไปทางอินเทอร์เน็ต นอกจากนี้ยังสร้างปวดหัวทุกชนิดสำหรับผู้ดูแลระบบเครือข่ายทั้งสองด้าน หลีกเลี่ยงสิ่งนี้ เชื่อฉัน.

แต่ แต่ ...
อย่างจริงจังไม่มีเหตุผลที่จะไม่ใช้หนึ่งในสองสิ่งที่ฉันแนะนำ วิธีอื่นใดมีข้อผิดพลาด ฉันไม่ได้บอกให้คุณรีบเปลี่ยนชื่อโดเมนหากใช้งานได้จริง แต่ถ้าคุณกำลังสร้างโฆษณาใหม่ให้ทำหนึ่งในสองสิ่งที่ฉันแนะนำข้างต้น

MDMarra
แหล่งที่มา
2
จุดเล็ก ๆ จุดหนึ่งสามารถใช้บางสิ่งที่เล็กกว่าเร็วกว่าและปลอดภัยกว่า IIS เพื่อให้บริการการเปลี่ยนเส้นทาง แม้แต่ haproxy หรือ nginx ก็อาจ overkill - ให้เซิร์ฟเวอร์ที่มีคุณสมบัติครบถ้วนเช่น apache2
OrangeDog
9
นี่เป็นเรื่องจริง แต่ทั้งหมดนั้นเป็นสิ่งที่เลอะเทอะและไม่จำเป็น
MDMarra
ใช่แล้วมันเจ็บปวดมากเมื่อมีคนลงทะเบียนโดเมน local.net และเครื่องพิมพ์ทั้งหมดที่ได้รับ NXDOMAIN เงียบ ๆ ก่อนวันนั้นก็ไม่ตอบรับอีกต่อไป นั่นเป็นการสอบสวนที่ตลก ...
โยฮันเนส
ฉันขอทราบได้ไหมว่า. local ไม่ได้ "สร้างขึ้น" จริง ๆ แล้วสงวนไว้ ไม่ใช่สำหรับการใช้งานประเภทนี้: en.wikipedia.org/wiki/.local
mikebabcock
ในขณะที่เขียนนี้มันไม่ได้ถูกสงวนไว้
MDMarra
34

เพื่อช่วยเหลือคำตอบของ MDMarra:

คุณไม่ควรใช้ชื่อ DNS ป้ายกำกับเดียวสำหรับชื่อโดเมนของคุณ สิ่งนี้เคยเป็น / ใช้ได้ก่อน Windows 2008 R2 เหตุผล / คำอธิบายสามารถพบได้ที่นี่: การ ปรับใช้และการทำงานของโดเมน Active Directory ที่กำหนดค่าโดยใช้ชื่อ DNS ป้ายกำกับเดียว ฝ่ายสนับสนุนของ Microsoft

อย่าลืมที่จะไม่ใช้คำที่สงวนไว้ (ตารางจะรวมอยู่ในลิงค์ "อนุสัญญาการตั้งชื่อ" ที่ด้านล่างของโพสต์นี้) เช่น SYSTEM หรือ WORLD หรือ RESTRICTED

ฉันเห็นด้วยกับ Microsoft ด้วยว่าคุณควรปฏิบัติตามกฎเพิ่มเติมสองข้อ (ซึ่งไม่ได้กำหนดไว้ แต่ยังคง):

  1. คุณไม่ควรตั้งชื่อโดเมนของคุณจากสิ่งที่จะเปลี่ยนหรือล้าสมัย ตัวอย่างรวมถึงการตั้งชื่อโดเมนของคุณหลังจากสายผลิตภัณฑ์ระบบปฏิบัติการหรือสิ่งอื่นใดที่มีแนวโน้มที่จะเปลี่ยนแปลงตลอดเวลา ยึดติดกับสิ่งใดสิ่งหนึ่งทางภูมิศาสตร์หรือคอนกรีตพอที่จะทำให้รู้สึก 5 หรือ 10 ปีตามถนน
  2. ติดกับชื่อสั้น ๆ 15 ตัวอักษรหรือน้อยกว่านี้จะช่วยให้ชื่อ NETBIOS ได้อย่างง่ายดายเหมือนกับชื่อโดเมน

ในที่สุดฉันขอแนะนำให้คุณคิดระยะยาวให้มากที่สุด บริษัท ต่างๆต้องผ่านการควบรวมและซื้อกิจการแม้แต่ บริษัท เล็ก ๆ ยังคิดในแง่ของการได้รับความช่วยเหลือ / คำปรึกษาจากภายนอก ใช้ชื่อโดเมนโครงสร้างโฆษณา ฯลฯ ที่สามารถอธิบายให้กับที่ปรึกษาหรือผู้คนที่นี่บน SF ได้โดยไม่ต้องใช้ความพยายามมาก

ลิงค์ความรู้:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

หน้าคำแนะนำปัจจุบันของ Microsoft (W2k12) สำหรับชื่อโดเมนรูทฟอเรสต์

TheCleaner
แหล่งที่มา
2

ฉันไม่เห็นด้วยกับการใช้:

  • example.com - ด้วยเหตุผลที่ระบุไว้แล้วในคำตอบอื่น ๆ

ฉันสามารถยอมรับได้โดยใช้:

  • ad.example.com - - ด้วยเหตุผลที่ระบุไว้แล้วในคำตอบอื่น ๆ

แต่ฉันจะไม่ทำเองหรือแนะนำ ในระหว่างการครอบครอง บริษัท rebranding นรกทั้งหมดหลุดโดยเฉพาะอย่างยิ่งเมื่อการจัดการที่จุดนั้นต้องการสิ่งที่เปลี่ยนแปลงทันที การเปลี่ยนชื่อการโยกย้ายการเปลี่ยนแปลงนั้นยากหรือแพงมาก

วิธีที่ดีที่สุดที่ฉันจะแนะนำคือซื้อโดเมนที่ไม่เกี่ยวข้องกับชื่อ บริษัท และไม่เกี่ยวข้องกับแบรนด์ของ บริษัท SIMPLE.CLOUDหรือสิ่งที่คล้ายกันควรทำตราบเท่าที่คุณสามารถเป็นเจ้าของได้

ฉันเคยเห็น บริษัท ใหญ่ที่มีผู้ใช้ 150k ที่ใช้โฆษณาซึ่งยังคงอ้างอิง บริษัท เก่าที่ซื้อมาเมื่อหลายปีก่อนหรือ บริษัท ที่เปลี่ยนชื่อและแม้ว่ามันจะไม่สำคัญในระยะยาวที่คุณใช้ \ login (ถ้าคุณไม่สามารถทำได้ ใช้ UPN) มันยังดูแย่อยู่หน้าผู้บริหารที่ไม่เข้าใจว่าทำไมมันถึงไม่เปลี่ยนเลย

เด็กบ้า
แหล่งที่มา
-15

mydomain.localฉันมักจะทำ

local ไม่ใช่ TLD ที่ถูกต้องดังนั้นจึงไม่เคยแข่งขันกับรายการ DNS สาธารณะที่แท้จริง

ตัวอย่างเช่นฉันชอบที่จะรู้ว่าweb1.mydomain.localจะแก้ไข IP ภายในของเว็บเซิร์ฟเวอร์ในขณะที่web1.mydomain.comจะแก้ไข IP ภายนอก

พอร์ทแมน
แหล่งที่มา
7
jscott
2
dot.Local, AKA dot.Fail
PnP
2
การใช้ TLD ที่ไม่ถูกต้อง (หรือโดเมนที่ไม่ได้จดทะเบียน) ไม่ใช่วิธีปฏิบัติที่ดีที่สุด แต่เป็นวิธีปฏิบัติที่เลวร้ายที่สุดด้วยเหตุผลทั้งหมดที่กล่าวมาข้างต้น ฉันจะยอมรับว่าฉันใช้. local แต่ก่อนนั้นฉันก็รู้ดีกว่า
โจนาธาน J
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.