سؤال أفضل ممارسات تسمية Windows Active Directory؟


هذا ال السؤال الكنسي حول تسمية مجال Active Directory.

بعد تجربة مجالات Windows ووحدات التحكم بالمجال في بيئة افتراضية ، أدركت أن وجود مجال دليل نشط يُسمى بشكل مماثل إلى مجال DNS هو فكرة سيئة (معنى أن example.com كدليل Active Directory ليست جيدة عندما يكون لدينا example.com اسم المجال المسجل للاستخدام كموقعنا الإلكتروني).

يبدو أن هذا السؤال المرتبط يدعم هذا الاستنتاج، ولكن ما زلت غير متأكد من القواعد الأخرى هناك حول تسمية مجالات Active Directory.

هل هناك أي ممارسات أفضل على ما ينبغي أو لا ينبغي أن يكون عليه اسم Active Directory؟


80
2017-10-21 13:10


الأصل




الأجوبة:


لقد كان هذا موضوعًا ممتعًا للنقاش حول خطأ الخادم. يبدو أن هناك "وجهات نظر دينية" مختلفة حول هذا الموضوع.

أوافق على توصية Microsoft: استخدم نطاقًا فرعيًا لاسم نطاق الإنترنت المسجل للشركة بالفعل.

لذا ، إذا كنت تملك foo.com، استعمال ad.foo.com أو بعض

أكثر شيء خسيس ، كما أراه ، هو استخدام اسم نطاق الإنترنت المسجل ، حرفيًا ، لاسم مجال Active Directory. هذا يسبب لك أن تضطر إلى نسخ السجلات يدويا من DNS الإنترنت (مثل www) في منطقة DNS لخدمة Active Directory للسماح بالأسماء "الخارجية" لحلها. لقد رأيت أشياء سخيفة تمامًا مثل IIS مثبت على كل DC في مؤسسة تدير موقع ويب يقوم بعملية إعادة توجيه بحيث يدخل شخص ما foo.com في متصفحهم ستتم إعادة توجيهها إلى www.foo.com بواسطة هذه المنشآت IIS. سخافة!

إن استخدام اسم نطاق الإنترنت لا يكتسب أي مزايا ، لكنه ينشئ "make work" في كل مرة تقوم فيها بتغيير عناوين IP التي تشير إليها أسماء المضيف الخارجي. (جرب استخدام DNS المتوازن الحمل جغرافيًا للمضيفين الخارجيين ودمج ذلك مع مثل هذا الوضع "انقسام DNS" أيضًا! Gee-- التي ستكون ممتعة ...)

استخدام مثل هذا النطاق الفرعي ليس له أي تأثير على أشياء مثل تسليم البريد الإلكتروني لـ Exchange أو لاحقات اسم المستخدم الرئيسي (UPN) ، راجع للشغل. (غالبا ما أرى أولئك المذكورين كذرائع لاستخدام اسم نطاق الإنترنت كاسم مجال م.)

كما أرى أن "الكثير من الشركات الكبرى تفعل ذلك". يمكن للشركات الكبيرة اتخاذ القرارات ذات الرأس العظمي بسهولة (إن لم تكن أكثر من) الشركات الصغيرة. أنا لا أشتري ذلك فقط لأن شركة كبيرة تتخذ قرارًا سيئًا يجعلها بطريقة ما قرارًا جيدًا.


94
2017-10-21 13:16



ولكن بعد اسم NetBIOS للمجال ليست ... حسنا ، جميلة :) corp ليس كما وصفيا foo. - Anton Gogolev
يمكنك تعيين أي اسم NetBIOS الذي تريده ، بالرغم من ذلك. العديد من العملاء لديهم أسماء مثل "ad.example.com" ، ولكن اسم NetBIOS هو "EXAMPLE". سيطالبك DCPROMO عما تريد أن يكون اسم NetBIOS أثناء إنشاء المجال. - Evan Anderson
إذا فعلت هذا انتبه لمشاكل مع المجالات التي لديها أحرف البدل. عندما يكون لديك * .foo.com ، فإن host.internal.foo.com سيطابقه في بعض المواقف - JamesRyan
لست على علم بأي منتج لخادم البريد الإلكتروني يتطلب منك استخدام اسم نطاق AD كلاحقة عنوان البريد الإلكتروني للمستخدمين. التبادل لديه أبدا مطلوب أي نوع من الارتباط بين اسم النطاق AD ولواحق عنوان البريد الإلكتروني. - Evan Anderson
يتطلب Office365 فقط أن يقوم المستخدمون بتسجيل الدخول باستخدام UPN مع لاحقة تطابق نطاق المستأجر. بما أن سياسة عنوان صندوق بريد Exchange الافتراضي يمكن تعريفها لتكون أي شيء ، كما هو الحال لاحقة UPN الخاصة بك ، فهي تافهة. لدينا EXAMPLE.COM باسم الشركة (والمستأجر في Office365) ، EXAMPLE.NET (مسجل أيضًا) مثل الغابة ، CORP.EXAMPLE.NET كنطاق الحساب الأساسي (مع نطاقات فرعية إقليمية أخرى ، مثل EU.EXAMPLE. NET) مع EXAMPLE باسم NetBIOS ، كافة المستخدمين في مجموعة العمليات Exchange FORG استخدم Name@EXAMPLE.COM لـ UPN وللحصول على البريد الإلكتروني. Office365 هو سعيد تماما مع هذا. - Ryan Fisher


لا يوجد سوى إجابتين صحيحة على هذا السؤال.

  1. نطاق فرعي غير مستخدم في نطاق تستخدمه بشكل عام. على سبيل المثال ، إذا كان تواجدك العام على الويب example.com قد تكون تسمية AD الداخلية الخاصة بك شيء مثل ad.example.com أو internal.example.com.

  2. نطاق المستوى الثاني غير المستخدم التي تملكها ولا تستخدم في أي مكان آخر. على سبيل المثال ، إذا كان تواجدك العام على الويب example.com قد يكون اسمه م example.net  طالما كنت قد قمت بالتسجيل example.net ولا تستخدمها في أي مكان آخر!

هذه اختيارك الوحيدان. إذا قمت بشيء آخر ، فأنت تترك نفسك مفتوحة للكثير من الألم والمعاناة.


لكن الجميع يستخدم .local!
لا يهم. لا يجب عليك لقد قمت بالتدوين حول استخدام نطاقات المستوى الأعلى من TLD مثل .lan و .corp. تحت أي ظرف من الظروف يجب عليك القيام بذلك من أي وقت مضى.

إنه ليس أكثر أمانًا. انها ليست "أفضل الممارسات" كما يدعي بعض الناس. وليس لديها أي الاستفادة من الخيارين اللذين اقترحتهما.

ولكنني أريد تسميتها بنفس عنوان URL لموقع الويب العام الخاص بي حتى يكون المستخدمون هم example\user بدلا من ad\user
هذا هو صالح ، ولكن قلق مضلل. عند ترقية DC الأول في مجال ، يمكنك تعيين اسم NetBIOS للمجال إلى ما تريده. إذا قمت باتباع نصيبي وقمت بإعداد نطاقك ليكون ad.example.com، يمكنك تكوين اسم NetBIOS الخاص بالنطاق ليكون example بحيث يقوم المستخدمون بتسجيل الدخول باسم example\user.

في Active Directory Forests and Trusts ، يمكنك إنشاء لاحقات UPN إضافية أيضًا. لا يوجد شيء يمنعك من إنشاء @ example.com وتعيينه كلاحقة UPN الأساسية لجميع الحسابات في نطاقك. عند دمج هذا مع توصية NetBIOS السابقة ، لن يرى أي مستخدم نهائي أن FQDN الخاص بمجالك هو ad.example.com. كل ما يرونه سيكون example\ أو @example.com. الأشخاص الوحيدون الذين سيحتاجون إلى العمل مع FQDN هم المسؤولون عن الأنظمة الذين يعملون مع Active Directory.

كذلك ، افترض أنك تستخدم مساحة اسم DNS منقسم الأفق ، مما يعني أن اسم AD الخاص بك هو نفس موقع ويب الخاص بك العام. الآن ، لا يمكن للمستخدمين الوصول إلى example.com داخليا ما لم يكن لديك البادئة www. في المستعرض الخاص بهم أو قمت بتشغيل IIS على كافة وحدات تحكم المجال الخاصة بك (هذا أمر سيئ). عليك أيضا أن تنظمي اثنان مناطق DNS غير متطابقة التي تشترك في مساحة اسم متصلتين. انها حقا أكثر من مشاحنة يستحق. الآن تخيل أن لديك شراكة مع شركة أخرى ولديها أيضًا تكوين DNS منفصل مع AD الخاصة بها وحضورها الخارجي. لديك رابط ألياف بصرية خاص بين الاثنين وتحتاج إلى إنشاء ثقة. والآن ، يتعين على جميع الزيارات إلى أي من مواقعها العامة اجتياز الرابط الخاص بدلاً من الخروج عبر الإنترنت فقط. كما أنه يخلق جميع أنواع الصداع لمسؤولي الشبكة على كلا الجانبين. تجنب هذا. ثق في.

لكن لكن لكن...
على محمل الجد ، ليس هناك سبب لعدم استخدام أحد الأمرين اللذين اقترحتهما. أي طريقة أخرى لديها المزالق. لا أخبرك بالتسرع في تغيير اسم نطاقك إذا كان يعمل ويعمل في مكانه ، ولكن إذا كنت تقوم بإنشاء إعلان جديد ، فقم بأحد الأمرين اللذين أوصيا إليهما أعلاه.


87
2018-01-29 16:18



نقطة صغيرة - يمكن للمرء استخدام شيء أصغر وأسرع وآمن من IIS لخدمة إعادة التوجيه. حتى haproxy أو nginx ربما تكون مبالغة - ناهيك عن خادم كامل الميزات مثل apache2. - OrangeDog
هذا صحيح ، ولكن الكل هذا هو قذر وغير ضروري. - MDMarra
Uuuuw نعم ، كان مؤلما جدا عندما قام شخص ما بتسجيل فجأة النطاق local.net وجميع الطابعات الذين صمت NXDOMAIN قبل ذلك التاريخ فجأة لم تجب بعد الآن. كان هذا بعض التحريات المضحكة ... - Johannes
هل لي أن أشير فقط إلى أن .local ليس "مكونا" بل هو في الواقع محفوظة ؛ فقط ليس لهذا النوع من الاستخدام: en.wikipedia.org/wiki/.local - mikebabcock
في الوقت الذي تمت كتابة هذا ، لم يكن محجوزاً. - MDMarra


لمساعدة الإجابة على MDMarra:

يجب لا تستخدم أبداً اسم DNS وحيد التسمية لاسم المجال الخاص بك سواء. كان هذا متاحًا / قبل إصدار Windows 2008 R2. أسباب / تفسيرات يمكن العثور عليها هنا: نشر وتشغيل مجالات Active Directory التي تم تكوينها باستخدام أسماء DNS ذات التسمية المفردة | دعم مايكروسوفت

لا تنس أن لا تستخدم الكلمات المحجوزة (يوجد جدول في رابط "اصطلاحات التسمية" في أسفل هذا المنشور) ، مثل SYSTEM أو WORLD أو RESTRICTED.

أتفق أيضًا مع Microsoft في أنه يجب عليك اتباع قاعدتين إضافيتين (لم يتم تعيينهما على الحجر ، ولكن مع ذلك):

  1. يجب عدم تسمية نطاقك استنادًا إلى شيء سيتغير أو يصبح قديمًا. تتضمن الأمثلة تسمية نطاقك بعد سطر منتج أو نظام تشغيل أو أي شيء آخر من المحتمل أن يتغير بمرور الوقت. التزم بشيء إما جغرافيًا أو ملموسًا بما يكفي لإضفاء معنى على 5 أو حتى 10 سنوات على الطريق.
  2. عصا مع أسماء قصيرة من 15 حرفا أو أقل ، وهذا سيسمح لاسم NETBIOS أن يكون بسهولة نفس اسم المجال.

أخيرا ، أود أن أوصي بأن تفكر على المدى الطويل قدر الإمكان. تذهب الشركات من خلال عمليات الدمج والاستحواذ ، حتى الشركات الصغيرة. أعتقد أيضا من حيث الحصول على مساعدة / التشاور الخارجي. استخدام أسماء النطاقات ، هيكل م ، وما إلى ذلك التي سيتم شرحها للمستشارين أو الأشخاص هنا على SF دون بذل الكثير من الجهد.

روابط المعرفة:

http://technet.microsoft.com/en-us/library/cc731265٪28v=ws.10٪29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

صفحة توصية Microsoft الحالية (W2k12) لاسم مجال مجموعة التفرعات الجذر


33
2018-01-29 16:35





لا أتفق مع استخدام:

  • example.com - لأسباب مذكورة مسبقًا في إجابات أخرى

يمكنني قبول استخدام:

  • ad.example.com - - لأسباب سبق ذكرها في إجابات أخرى

لكنني لن أفعل ذلك بنفسي أو أوصي به. خلال عملية الاستحواذ على الشركة ، فإن تغيير العلامة التجارية لجميع الجحيم ينهار ، خاصة عندما تريد الإدارة في تلك المرحلة أن تتغير الأمور على الفور. إعادة تسمية الهجرات ، والتغييرات صعبة للغاية أو باهظة الثمن.

أفضل طريقة أنصح بها هي شراء نطاق غير ذي صلة باسم الشركة وأيضًا غير ذي صلة بالعلامة التجارية للشركة. SIMPLE.CLOUD أو ما شابه ينبغي القيام به على ما يرام طالما يمكنك امتلاكها. 

لقد رأيت شركات كبيرة بها 150 ألف مستخدم يستخدمون م. لا يزالون يشيرون إلى الشركة القديمة التي قاموا بشرائها منذ سنوات ، أو الشركات التي غيرت أسماءهم على الرغم من أنه لا يهم على المدى الطويل أن تستخدم \ تسجيل الدخول (إذا لم تستطع استخدام UPN) لا يزال يبدو سيئًا أمام الإدارة الذين لا يفهمون لماذا ليس من السهل تغييره.


1
2017-10-27 15:33





أفعل دائما mydomain.local.

local ليس TLD صالحًا ، لذلك لا يتنافس مطلقًا مع إدخال DNS العام الفعلي.

على سبيل المثال ، أحب التمكن من معرفة ذلك web1.mydomain.local سوف تحل إلى IP الداخلي لخادم الويب ، في حين web1.mydomain.com سوف تحل إلى IP الخارجي.


-14
2017-09-23 20:03



FWIW، .local الاستفسارات المطرقة على الجذر L الخادم - ~ 800 / ثانية عندما نظرت. - jscott
dot.Local، AKA dot.Fail - PnP
استخدام TLD غير صحيح (أو مجال غير مسجل) ليس أفضل الممارسات ، وهو أسوأ الممارسات ، لجميع الأسباب المذكورة أعلاه. أنا أعترف أنني قد استخدمت .local ، ولكن ذلك كان قبل أن أعرف أفضل. - Jonathan J