이것은 Active Directory 도메인 이름 지정에 대한 정식 질문 입니다.
가상 환경에서 Windows 도메인과 도메인 컨트롤러와 실험 후, 나는 DNS 도메인 이름이 동일 Active Directory 도메인을 가진 것이 갖는 의미 나쁜 생각 (것을 깨달았다 example.com우리는이 때 Active Directory의 이름으로하는 것은 좋지 않습니다 example.com도메인 이름 웹 사이트로 사용하도록 등록됨).
이 관련 질문은이 결론을 뒷받침하는 것처럼 보이지만 Active Directory 도메인 이름 지정 과 관련하여 어떤 다른 규칙이 있는지 잘 모르겠습니다.
Active Directory 이름에 대한 모범 사례가 있습니까?
답변:
이것은 서버 결함에 관한 재미있는 주제였습니다. 주제에 대한 다양한 "종교적 견해"가있는 것으로 보인다.
Microsoft의 권장 사항에 동의 합니다. 회사에 이미 등록 된 인터넷 도메인 이름의 하위 도메인을 사용합니다.
따라서 귀하가 소유하고 있다면 그 중 일부를 foo.com사용하십시오 ad.foo.com.
내가 본 것처럼 가장 사악한 것은 Active Directory 도메인 이름에 등록 된 인터넷 도메인 이름 인 그대로 사용하는 것입니다. 따라서 www"외부"이름을 확인할 수 있도록 인터넷 DNS (예 :와 같은 ) 레코드를 Active Directory DNS 영역 으로 수동으로 복사 해야합니다. 나는 누군가가 입력하는 리디렉션 등 않는 웹 사이트를 실행하는 조직의 모든 DC에 설치 IIS와 같은 완전히 어리석은 것을 본 적이 foo.com브라우저가 리디렉션 될 것이다으로 www.foo.com이 IIS 설치에 의해합니다. 터무니없는 침묵!
인터넷 도메인 이름을 사용하면 이점이 없지만 외부 호스트 이름이 참조하는 IP 주소를 변경할 때마다 "작동"을 만듭니다. (외부 호스트에 지리적으로로드 밸런싱 된 DNS를 사용하고이를 "분할 DNS"상황과 통합 해보십시오!
이러한 하위 도메인을 사용해도 Exchange 전자 메일 배달 또는 UPN (User Principal Name) 접미사 (BTW)에는 영향을 미치지 않습니다. (인터넷 도메인 이름을 AD 도메인 이름으로 사용하는 것에 대한 변명으로 인용되는 경우가 종종 있습니다.)
나는 또한 "많은 대기업들이 그렇게한다"는 변명을 본다. 대기업은 소기업보다 쉽게 쉽게 결정을 내릴 수 있습니다. 나는 큰 회사가 어떻게 든 좋은 결정을 내리는 나쁜 결정을 내리기 때문에 그것을 사지 않습니다.
이 질문에 대한 정답은 두 가지뿐입니다.
공개적으로 사용하는 도메인의 사용되지 않은 하위 도메인. 예를 들어, 공개 웹 존재는 경우 example.com내부 AD는 같은 이름 수 있습니다 ad.example.com또는 internal.example.com.
소유 하고 있고 다른 곳에서는 사용하지 않는 사용 되지 않은 2 차 도메인 . 예를 들어 퍼블릭 웹 프레즌스 인 경우 등록한example.com AD는 다른 곳에서 사용하지 않는 한 이름이 지정 될 수 있습니다 .example.net example.net
이것들은 당신의 유일한 두 가지 선택입니다. 다른 일을한다면 많은 고통과 고통에 노출되어 있습니다.
그러나 모두가 .local을 사용합니다!
중요하지 않습니다. 해서는 안됩니다. .local 및 .lan 및 .corp와 같은 다른 TLD 구성에 대한 블로그를 작성했습니다 . 어떤 상황에서도이 작업을 수행해서는 안됩니다.
더 안전하지 않습니다. 일부 사람들이 주장하는 것처럼 '모범 사례'가 아닙니다. 그리고 내가 제안한 두 가지 선택에 비해 아무런 이점 이 없습니다 .
그러나 내 공용 웹 사이트의 URL과 동일하게 이름을 지정하여 사용자가 example\user대신ad\user
유효합니다. 도메인에서 첫 번째 DC를 승격시킬 때 도메인의 NetBIOS 이름을 원하는대로 설정할 수 있습니다. 내 조언에 따라 도메인을으로 ad.example.com설정하면 example사용자가로 로그온 할 수 있도록 도메인의 NetBIOS 이름을 구성 할 수 있습니다 example\user.
Active Directory 포리스트 및 트러스트에서 추가 UPN 접미사를 만들 수도 있습니다. @ example.com을 도메인의 모든 계정에 대한 기본 UPN 접미사로 만들고 설정하는 것을 막을 방법은 없습니다. 이를 이전 NetBIOS 권장 사항과 결합하면 최종 사용자는 도메인의 FQDN이로 표시되지 않습니다 ad.example.com. 그들이 보는 모든 것은 example\또는 @example.com입니다. FQDN과 함께 작업해야하는 사람은 Active Directory와 함께 작업하는 시스템 관리자뿐입니다.
또한 분할-수평 DNS 네임 스페이스를 사용한다고 가정합니다. 즉, AD 이름이 공개 웹 사이트와 동일하다는 의미입니다. 이제 사용자가 브라우저에 example.com접두사 www.가 없거나 모든 도메인 컨트롤러에서 IIS를 실행 하지 않는 한 내부적으로 접근 할 수 없습니다 (나쁜 일). 당신은 또한 두 큐레이터해야비 연속 네임 스페이스를 공유하는 동일하지 않은 DNS 영역 가치보다 정말 번거 롭습니다. 이제 다른 회사와 파트너쉽을 맺고 AD 및 외부 존재와 함께 수평 분할 DNS 구성을 가지고 있다고 가정하십시오. 둘 사이에 개인 파이버 링크가 있으며 신뢰를 작성해야합니다. 이제 공개 사이트로가는 모든 트래픽은 인터넷을 통하지 않고 개인 링크를 통과해야합니다. 또한 양쪽 네트워크 관리자에게 모든 종류의 골치 거리를 만듭니다. 이것을 피하십시오. 날 믿어.
그러나 그러나 ...
진지하게, 내가 제안한 두 가지 중 하나를 사용하지 않을 이유는 없습니다. 다른 방법으로는 함정이 있습니다. 도메인 이름이 작동하고 제대로 작동하면 도메인 이름을 빠르게 변경하라고 말하지는 않지만 새 AD를 만드는 경우 위에서 권장 한 두 가지 중 하나를 수행하십시오.
MDMarra의 답변을 지원하려면 :
도메인 이름에 단일 레이블 DNS 이름 을 사용 해서는 안됩니다 . 이것은 Windows 2008 R2 이전에 사용 가능했습니다. 이유 / 설명은 여기에서 찾을 수 있습니다. 단일 레이블 DNS 이름을 사용하여 구성된 Active Directory 도메인의 배포 및 운영 | Microsoft 지원
SYSTEM, WORLD 또는 RESTRICTED와 같이 예약어 (이 게시물의 맨 아래에있는 "네이밍 규칙"링크에 테이블이 포함되어 있음)를 사용하지 마십시오 .
또한 두 가지 추가 규칙을 준수해야한다는 점에도 Microsoft에 동의합니다.
마지막으로, 가능한 한 장기적으로 생각하는 것이 좋습니다. 회사는 인수 합병, 심지어 소규모 회사를 거치게됩니다. 또한 외부의 도움 / 상담을받는 관점에서 생각하십시오. SF의 컨설턴트 또는 사람들에게 많은 노력을 기울이지 않고도 설명 할 수있는 도메인 이름, AD 구조 등을 사용하십시오.
지식 링크 :
http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx
http://support.microsoft.com/kb/909264
다음을 사용하는 데 동의하지 않습니다.
나는 다음을 사용하여 동의 할 수있다 :
그러나 나는 그것을 직접하거나 추천하지 않을 것입니다. 회사 인수 과정에서 특히 해당 지점의 경영진이 즉시 변화를 원할 때 모든 브랜딩 브랜딩이 느슨해집니다. 마이그레이션의 이름을 바꾸면 변경이 매우 어렵거나 비용이 많이 듭니다.
내가 추천하는 가장 좋은 방법은 회사 이름과 관련이없고 회사 브랜드와 관련이없는 도메인을 구입하는 것입니다. SIMPLE.CLOUD 또는 이와 유사한 기능은 소유 할 수있는 한 제대로 작동합니다.
몇 년 전에 구입 한 오래된 회사를 참조하는 AD를 사용하는 150k 명의 사용자가있는 대기업이나 이름을 변경 한 회사가 있지만 장기적으로는 \ login을 사용하는 것은 중요하지 않습니다. UPN을 사용하십시오) 변경하기가 왜 사소한 지 이해하지 못하는 경영진 앞에서 여전히 나빠 보입니다.
나는 항상한다 mydomain.local.
local 유효한 TLD가 아니므로 실제 공개 DNS 항목과 경쟁하지 않습니다.
예를 들어, 나는 web1.mydomain.local웹 서버의 내부 IP로 web1.mydomain.com해석되고 외부 IP로 해석 된다는 것을 알고 싶습니다 .
.local루트 L 서버에 대한 쿼리 -내가 보았을 때 ~ 800 / 초.
corp만큼 설명 적이 지 않습니다foo.