Soru Windows Active Directory adlandırma en iyi uygulamaları?


Bu bir Kanonik Soru Active Directory etki alanı adlandırma hakkında.

Sanal bir ortamda Windows etki alanları ve etki alanı denetleyicileri ile deneme yaptıktan sonra, bir DNS etki alanına özdeş olarak adlandırılmış bir etkin dizin etki alanına sahip olmanın kötü bir fikir olduğunu fark ettim example.com bir Active Directory adı olarak, example.com web sitemiz olarak kullanım için kayıtlı alan adı).

Bu ilgili soru, bu sonucu destekliyor gibi görünüyor.Ancak, Active Directory etki alanlarını adlandırma konusunda başka hangi kuralların olduğundan emin değilim.

Bir Active Directory isminin ne olması gerektiği veya olmaması gerektiği konusunda en iyi uygulamalar var mı?


80
2017-10-21 13:10


Menşei




Cevaplar:


Bu, Sunucu Arızası hakkında eğlenceli bir tartışma konusu olmuştur. Konuyla ilgili farklı "dini görüşler" var gibi görünüyor.

Microsoft'un tavsiyesine katılıyorum: Şirketin önceden kayıtlı İnternet alan adının bir alt alanını kullanın.

Yani, eğer sahipseniz foo.com, kullan ad.foo.com ya da bunlardan bazıları.

Gördüğüm en çirkin şey, Active Directory etki alanı adı için kayıtlı Internet etki alanı adını, verbatim kullanıyor. Bu, Internet DNS'den kayıtları manuel olarak kopyalamaya zorlanmanıza neden olur. www) "harici" adların çözülmesine izin vermek için Active Directory DNS alanına. Bir web sitesi çalıştıran bir kuruluşta her DC'de IIS gibi tamamen aptalca şeyler görüyorum. foo.com tarayıcılarına yönlendirilecek www.foo.com Bu IIS yüklemeleri tarafından. Çok aptallık!

İnternet alan adını kullanmak size avantaj sağlamaz, ancak harici ana bilgisayar adlarının başvurduğu IP adreslerini her değiştirdiğinizde "iş yap" yaratır. (Dış ana bilgisayarlar için coğrafi olarak yük dengeli bir DNS kullanmayı deneyin ve bu tür bir "bölünmüş DNS" durumuyla da entegre edin! Gee-- bu eğlenceli olur ...)

Böyle bir alt alanın kullanılması, Exchange e-posta teslimi veya Kullanıcı Asıl Adı (UPN) ekleri, BTW gibi şeyler üzerinde hiçbir etkisi yoktur. (Genelde, Internet etki alanı adını AD etki alanı adı olarak kullanmak için bahane olarak gördüğümüzü görüyorum.)

Ayrıca "büyük şirketlerin çok fazla" mazeretini görüyorum. Büyük şirketler, küçük şirketlere kıyasla, daha kolay bir şekilde (moreso olmasa bile) yazılı kararlar alabilirler. Bunu satın almıyorum çünkü büyük bir şirket, bir şekilde iyi bir karar vermesine neden olan kötü bir karar veriyor.


94
2017-10-21 13:16



Ama sonra alanın NetBIOS adı değil ... iyi, güzel :) corp tanımlayıcı olarak değil foo. - Anton Gogolev
Yine de, istediğiniz NetBIOS adını atayabilirsiniz. Müşterilerimin birçoğu "ad.example.com" gibi adlara sahiptir, ancak NetBIOS adı "ÖRNEK" dir. DCPROMO, etki alanı oluşturulurken NetBIOS adının olmasını istediğiniz şey için sizi uyarır. - Evan Anderson
Bunu yaparsanız joker karakterleri olan etki alanlarıyla ilgili sorunlara dikkat edin. * .Foo.com’unuza sahip olduğunuzda, host.internal.foo.com bazı durumlarda bunu eşleştirecektir - JamesRyan
AD etki alanı adını kullanıcıların e-posta adresi son eki olarak kullanmanızı gerektiren herhangi bir e-posta sunucusu ürününün farkında değilim. Değişim var asla AD etki alanı adı ve e-posta adresi ekleri arasında her türlü ilişkiyi gerektirir. - Evan Anderson
Office365 yalnızca, kullanıcılarınızın UPN'leriyle kiracı alanınızla eşleşen bir sonek ile oturum açmasını gerektirir. Varsayılan Exchange posta kutusu adresi ilkesi UPN sonekiniz gibi herhangi bir şey olarak tanımlanabileceğinden, önemsizdir. Bizim şirket adı olarak EXAMPLE.COM (ve Office365 kiracısı), EXAMPLE.NET (aynı zamanda kayıtlı olarak) orman olarak, birincil hesap etki alanı olarak CORP.EXAMPLE.NET (diğer bölgesel alt etki alanları, örneğin, EU.EXAMPLE. NET) NETBIOS adı olarak ÖRNEK ile, ormandaki tüm kullanıcılar org UPN için Name@EXAMPLE.COM ve e-posta için kullanın. Office365 bununla çok mutlu. - Ryan Fisher


Bu soruya sadece iki doğru cevap var.

  1. Herkese açık olarak kullandığınız bir alanın kullanılmayan bir alt alanı. Örneğin, herkese açık web varlığınız example.com iç AD'niz gibi bir şey adlandırılmış olabilir ad.example.com veya internal.example.com.

  2. Kullanılmayan ikinci düzey bir alan senin sahipsin ve başka bir yerde kullanmayın. Örneğin, herkese açık web varlığınız example.com AD'niz adlandırılmış olabilir example.net  kayıtlı olduğun sürece example.net ve başka bir yerde kullanma!

Bunlar sadece iki seçeneğin. Başka bir şey yaparsanız, kendinizi çok acı ve ıstıraba açık bırakırsınız.


Ama herkes kullanır.
Önemli değil. Yapmamalısın. .Lan ve .corp gibi .local ve diğer TLD'lerin kullanımı hakkında blog yazdım. Hiçbir koşulda bunu asla yapmamalısınız.

Daha güvenli değil. Bazı insanlar iddia ettiği gibi "en iyi uygulamalar" değildir. Ve sahip değil herhangi önerdiğim iki seçenek üzerinden faydalanın.

Ancak, kullanıcıları web sitemin URL'siyle aynı şekilde adlandırmak istiyorum. example\user yerine ad\user
Bu geçerli ama yanlış yönlendirilmiş bir sorundur. Bir etki alanındaki ilk DC'yi tanıtırken, etki alanının NetBIOS adını olmasını istediğiniz şekilde ayarlayabilirsiniz. Tavsiyemi takip ederseniz ve alanınızı ad.example.com, etki alanının NetBIOS adını yapılandırabilirsiniz. example Böylece kullanıcılarınız example\user.

Active Directory Ormanları ve Güvenleri'nde, ek UPN son ekleri de oluşturabilirsiniz. Sizi, alan adınızdaki tüm hesaplar için birincil UPN son eki olarak @ example.com ayarlaması ve oluşturmasından engelleyen hiçbir şey yok. Bunu bir önceki NetBIOS önerisiyle birleştirdiğinizde, hiç bir kullanıcı alanınızın FQDN'sinin olduğunu görmez ad.example.com. Gördükleri her şey example\ veya @example.com. FQDN ile çalışması gereken tek kişi, Active Directory ile çalışan sistem yöneticileridir.

Ayrıca, split-horizon DNS ad alanı kullandığınızı varsayalım, yani AD adınızın herkese açık web sitenizle aynı olduğunu varsayın. Şimdi, kullanıcılarınız alamıyor example.com dahili olarak önekiniz yoksa www. tarayıcılarında veya tüm etki alanı denetleyicilerinde IIS çalıştırırsınız (bu kötü). Sen de küratörlüğünü yapmalısın iki ayrık bir ad alanını paylaşan özdeş olmayan DNS bölgeleri. Bu değerinden çok daha fazla güçlük. Şimdi başka bir şirketle ortaklık yaptığınızı ve ayrıca AD'leri ve harici varlıkları ile bölünmüş bir DNS yapılandırması olduğunu hayal edin. İkisi arasında özel bir fiber bağlantınız var ve bir güven oluşturmalısınız. Artık, tüm trafiğinizin herkese açık sitelerine gitmesi, yalnızca İnternet üzerinden çıkmak yerine özel bağlantıyı geçmek zorundadır. Ayrıca ağ yöneticileri için her iki tarafta da baş ağrısını her türlü yaratır. Bunu önlemek. Güven Bana.

Ama ama ama...
Cidden, önerdiğim iki şeyden birini kullanmama sebep yok. Başka bir şekilde tuzaklar var. Etki alanı adınızı, işlev görüyorsa ve yerinde çalışıyorsa acele etmemenizi istemiyorum, ancak yeni bir AD oluşturuyorsanız, yukarıda önerdiğim iki şeyden birini yapın.


87
2018-01-29 16:18



Küçük bir nokta - yönlendirme için IIS'den çok daha küçük, daha hızlı ve güvenli bir şey kullanabilir. Haproxy veya nginx bile büyük olasılıkla çok fazladır - apache2 gibi tam özellikli bir sunucu bile olsa. - OrangeDog
Bu doğru ama herşey Bu özensiz ve gereksizdir. - MDMarra
Uuuuw evet, birisi aniden local.net alan adını kaydettiğinde çok acı vericiydi ve bu tarihten önce sessizce NXDOMAIN alan tüm yazıcılar aniden cevap vermedi. Bu komik bir soruşturmaydı ... - Johannes
Sadece unutmayın ki .local "yapılmış" değil aslında saklıdır; sadece bu tür kullanım için değil: en.wikipedia.org/wiki/.local - mikebabcock
Bu yazıldığı zaman, ayrılmış değildi. - MDMarra


MDMarra'nın yanıtına yardımcı olmak için:

Malısın ASLA tek etiketli bir DNS adı kullanmayın alan adınız için de. Bu, Windows 2008 R2'den önce mevcut. Nedenleri / açıklamaları burada bulabilirsiniz: Tek etiketli DNS adları kullanılarak yapılandırılmış Active Directory etki alanlarının dağıtımı ve çalışması | Microsoft Desteği

Saklı sözcükleri KULLANMAYI unutma (SİSTEM veya DÜNYA veya SINIRLI) gibi bir tablo bu gönderinin alt kısmındaki "Adlandırma Kuralları" bağlantısına dahil edilir.

Ayrıca, Microsoft ile aynı fikirdeyim ki, iki ek kurala uymalısınız (taşa yerleştirilmemiş, ama yine de):

  1. Alanınızı, değişecek veya modası geçecek bir şeye göre adlandırmamalısınız. Örnekler, alanınızı bir ürün satırından, işletim sisteminden veya zaman içinde değişmesi muhtemel olan başka bir şeyden sonra adlandırmayı içerir. Yolda 5 ya da hatta 10 yıl geçecek kadar coğrafi ya da somut bir şeyle uğraş.
  2. 15 karakter veya daha kısa kısa isimle sopa, bu NETBIOS adının alan adıyla kolayca aynı olmasını sağlar.

Son olarak, mümkün olduğunca uzun vadeli düşünmenizi tavsiye ederim. Şirketler birleşme ve devralmalar, hatta küçük şirketler bile geçer. Ayrıca dışarıdan yardım / danışma alma açısından da düşünün. Danışmanlar veya SF'deki insanlar için fazla çaba sarf etmeden açıklanacak alan adlarını, AD yapısını vb. Kullanın.

Bilgi bağlantıları:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

Kök orman etki alanı adı için Microsoft'un geçerli (W2k12) öneri sayfası


33
2018-01-29 16:35





Kullanarak katılmıyorum:

  • example.com - diğer cevaplarda daha önce belirtilen nedenlerden dolayı

Kullanmayı kabul edebilirim:

  • ad.example.com - - diğer cevaplarda daha önce belirtilen nedenlerle

Ama kendim yapmam ya da tavsiye etmem. Şirket devralması sırasında, özellikle bu noktada yönetimin hemen bir şeyleri değiştirmek istediğinde, tüm cehennem kırılmaları kopmaz. Göçleri yeniden adlandırma, değişiklikler çok zor veya pahalıdır.

Tavsiye edeceğim en iyi yol, şirket ismiyle ilgisi olmayan ve aynı zamanda şirketin markasıyla alakasız olan alan satın almaktır. SIMPLE.CLOUD ya da benzeri iyi yapmalı sahip olabileceğiniz sürece. 

Yıllar önce aldıkları eski şirketi referans alan AD kullanan 150k kullanıcılı büyük firmalar ya da isimleri değiştiren şirketler ve uzun vadede önemli olmamalarına rağmen \ login kullanıyorsunuz. UPN'yi kullanmak, yönetimin önünde neden hala kötü olmadığını anlamak için yönetimin önünde kötü görünüyor.


1
2017-10-27 15:33





her zaman yaparım mydomain.local.

local geçerli bir TLD değildir, bu yüzden gerçek bir genel DNS girişi ile rekabet etmez.

Örneğin, bunu bilmeyi seviyorum web1.mydomain.local bir web sunucusunun iç IP'sine gider, web1.mydomain.com dış IP'ye çözer.


-14
2017-09-23 20:03



FWIW, .local Kök L-sunucuda sorgulama - Baktığımda ~ 800 / sn. - jscott
dot.Yerel, AKA dot.Fail - PnP
Geçersiz bir TLD (veya kayıt dışı bir alan) kullanmak en iyi uygulama değildir, yukarıda belirtilen tüm nedenlerden dolayı en kötü uygulamadır. Ben kullanmış olduğumu itiraf ediyorum. Local, ama daha iyi bilmeden önceydi. - Jonathan J