Windows Active Directory 명명 모범 사례?


89

이것은 Active Directory 도메인 이름 지정에 대한 정식 질문 입니다.

가상 환경에서 Windows 도메인과 도메인 컨트롤러와 실험 후, 나는 DNS 도메인 이름이 동일 Active Directory 도메인을 가진 것이 갖는 의미 나쁜 생각 (것을 깨달았다 example.com우리는이 때 Active Directory의 이름으로하는 것은 좋지 않습니다 example.com도메인 이름 웹 사이트로 사용하도록 등록됨).

이 관련 질문은이 결론을 뒷받침하는 것처럼 보이지만 Active Directory 도메인 이름 지정 과 관련하여 어떤 다른 규칙이 있는지 잘 모르겠습니다.

Active Directory 이름에 대한 모범 사례가 있습니까?

답변:


98

이것은 서버 결함에 관한 재미있는 주제였습니다. 주제에 대한 다양한 "종교적 견해"가있는 것으로 보인다.

Microsoft의 권장 사항에 동의 합니다. 회사에 이미 등록 된 인터넷 도메인 이름의 하위 도메인을 사용합니다.

따라서 귀하가 소유하고 있다면 그 중 일부를 foo.com사용하십시오 ad.foo.com.

내가 본 것처럼 가장 사악한 것은 Active Directory 도메인 이름에 등록 된 인터넷 도메인 이름 인 그대로 사용하는 것입니다. 따라서 www"외부"이름을 확인할 수 있도록 인터넷 DNS (예 :와 같은 ) 레코드를 Active Directory DNS 영역 으로 수동으로 복사 해야합니다. 나는 누군가가 입력하는 리디렉션 등 않는 웹 사이트를 실행하는 조직의 모든 DC에 설치 IIS와 같은 완전히 어리석은 것을 본 적이 foo.com브라우저가 리디렉션 될 것이다으로 www.foo.com이 IIS 설치에 의해합니다. 터무니없는 침묵!

인터넷 도메인 이름을 사용하면 이점이 없지만 외부 호스트 이름이 참조하는 IP 주소를 변경할 때마다 "작동"을 만듭니다. (외부 호스트에 지리적으로로드 밸런싱 된 DNS를 사용하고이를 "분할 DNS"상황과 통합 해보십시오!

이러한 하위 도메인을 사용해도 Exchange 전자 메일 배달 또는 UPN (User Principal Name) 접미사 (BTW)에는 영향을 미치지 않습니다. (인터넷 도메인 이름을 AD 도메인 이름으로 사용하는 것에 대한 변명으로 인용되는 경우가 종종 있습니다.)

나는 또한 "많은 대기업들이 그렇게한다"는 변명을 본다. 대기업은 소기업보다 쉽게 ​​쉽게 결정을 내릴 수 있습니다. 나는 큰 회사가 어떻게 든 좋은 결정을 내리는 나쁜 결정을 내리기 때문에 그것을 사지 않습니다.


2
그러나 도메인의 NetBIOS 이름은 ... 음, 예쁘지 않습니다. :) corp만큼 설명 적이 지 않습니다 foo.
Anton Gogolev

33
그래도 원하는 NetBIOS 이름을 지정할 수 있습니다. 많은 고객들이 "ad.example.com"과 같은 이름을 가지고 있지만 NetBIOS 이름은 "EXAMPLE"입니다. DCPROMO는 도메인을 생성하는 동안 NetBIOS 이름을 원하는지 묻습니다.
Evan Anderson

5
이렇게하면 와일드 카드가있는 도메인에 문제가 있는지주의하십시오. * .foo.com이 있으면 host.internal.foo.com이 일부 상황에서 일치합니다
JamesRyan

2
AD 도메인 이름을 사용자의 전자 메일 주소 접미사로 사용해야하는 전자 메일 서버 제품에 대해 잘 모르겠습니다. 교환 한 적이 광고 도메인 이름과 이메일 주소 접미사 사이의 상관 관계의 어떤 종류를 필요하지 않습니다.
Evan Anderson

2
Office365는 사용자가 테넌트 도메인과 일치하는 접미사를 사용하여 UPN으로 로그온하기 만하면됩니다. 기본 Exchange 사서함 주소 정책은 UPN 접미사와 같이 무엇이든 정의 할 수 있으므로 사소한 것입니다. 회사 이름 (예 : Office365의 테넌트)으로 EXAMPLE.COM, 포리스트로 EXAMPLE.NET (등록됨), 기본 계정 도메인으로 CORP.EXAMPLE.NET (예 : EU.EXAMPLE)이 있습니다. NET) EXAMPLE을 NetBIOS 이름으로 사용하면 포리스트 Exchange 조직의 모든 사용자는 UPN 및 전자 메일에 Name@EXAMPLE.COM을 사용합니다. Office365는 이에 매우 만족합니다.
Ryan Fisher

89

이 질문에 대한 정답은 두 가지뿐입니다.

  1. 공개적으로 사용하는 도메인의 사용되지 않은 하위 도메인. 예를 들어, 공개 웹 존재는 경우 example.com내부 AD는 같은 이름 수 있습니다 ad.example.com또는 internal.example.com.

  2. 소유 하고 있고 다른 곳에서는 사용하지 않는 사용 되지 않은 2 차 도메인 . 예를 들어 퍼블릭 웹 프레즌스 인 경우 등록한example.com AD는 다른 곳에서 사용하지 않는 한 이름이 지정 될 수 있습니다 .example.net example.net

이것들은 당신의 유일한 두 가지 선택입니다. 다른 일을한다면 많은 고통과 고통에 노출되어 있습니다.


그러나 모두가 .local을 사용합니다!
중요하지 않습니다. 해서는 안됩니다. .local 및 .lan 및 .corp와 같은 다른 TLD 구성에 대한 블로그를 작성했습니다 . 어떤 상황에서도이 작업을 수행해서는 안됩니다.

더 안전하지 않습니다. 일부 사람들이 주장하는 것처럼 '모범 사례'가 아닙니다. 그리고 내가 제안한 두 가지 선택에 비해 아무런 이점 이 없습니다 .

그러나 내 공용 웹 사이트의 URL과 동일하게 이름을 지정하여 사용자가 example\user대신ad\user
유효합니다. 도메인에서 첫 번째 DC를 승격시킬 때 도메인의 NetBIOS 이름을 원하는대로 설정할 수 있습니다. 내 조언에 따라 도메인을으로 ad.example.com설정하면 example사용자가로 로그온 할 수 있도록 도메인의 NetBIOS 이름을 구성 할 수 있습니다 example\user.

Active Directory 포리스트 및 트러스트에서 추가 UPN 접미사를 만들 수도 있습니다. @ example.com을 도메인의 모든 계정에 대한 기본 UPN 접미사로 만들고 설정하는 것을 막을 방법은 없습니다. 이를 이전 NetBIOS 권장 사항과 결합하면 최종 사용자는 도메인의 FQDN이로 표시되지 않습니다 ad.example.com. 그들이 보는 모든 것은 example\또는 @example.com입니다. FQDN과 함께 작업해야하는 사람은 Active Directory와 함께 작업하는 시스템 관리자뿐입니다.

또한 분할-수평 DNS 네임 스페이스를 사용한다고 가정합니다. 즉, AD 이름이 공개 웹 사이트와 동일하다는 의미입니다. 이제 사용자가 브라우저에 example.com접두사 www.가 없거나 모든 도메인 컨트롤러에서 IIS를 실행 하지 않는 한 내부적으로 접근 할 수 없습니다 (나쁜 일). 당신은 또한 큐레이터해야비 연속 네임 스페이스를 공유하는 동일하지 않은 DNS 영역 가치보다 정말 번거 롭습니다. 이제 다른 회사와 파트너쉽을 맺고 AD 및 외부 존재와 함께 수평 분할 DNS 구성을 가지고 있다고 가정하십시오. 둘 사이에 개인 파이버 링크가 있으며 신뢰를 작성해야합니다. 이제 공개 사이트로가는 모든 트래픽은 인터넷을 통하지 않고 개인 링크를 통과해야합니다. 또한 양쪽 네트워크 관리자에게 모든 종류의 골치 거리를 만듭니다. 이것을 피하십시오. 날 믿어.

그러나 그러나 ...
진지하게, 내가 제안한 두 가지 중 하나를 사용하지 않을 이유는 없습니다. 다른 방법으로는 함정이 있습니다. 도메인 이름이 작동하고 제대로 작동하면 도메인 이름을 빠르게 변경하라고 말하지는 않지만 새 AD를 만드는 경우 위에서 권장 한 두 가지 중 하나를 수행하십시오.


2
작은 점-IIS보다 훨씬 작고 빠르고 안전한 것을 사용하여 리디렉션을 제공 할 수 있습니다. haproxy 또는 nginx조차도 apache2와 같은 모든 기능을 갖춘 서버는 물론 과잉입니다.
OrangeDog

9
이것은 사실이지만 그 모든 것이 조잡하고 불필요합니다.
MDMarra

Uuuuw 그렇습니다. 누군가가 local.net 도메인을 갑자기 등록하고 그 날짜 이전에 NXDOMAIN을 자동으로 얻은 모든 프린터가 갑자기 더 이상 응답하지 않으면 너무 고통 스러웠습니다. 그것은 재미있는 조사였습니다 ...
Johannes

.local이 "만들어지지"않았다는 사실에 주목할 수 있습니다. : 그냥이 사용 유형에 대한 en.wikipedia.org/wiki/.local
mikebabcock

이것이 쓰여질 당시에는 예약되지 않았습니다.
MDMarra

34

MDMarra의 답변을 지원하려면 :

도메인 이름에 단일 레이블 DNS 이름사용 해서는 안됩니다 . 이것은 Windows 2008 R2 이전에 사용 가능했습니다. 이유 / 설명은 여기에서 찾을 수 있습니다. 단일 레이블 DNS 이름을 사용하여 구성된 Active Directory 도메인의 배포 및 운영 | Microsoft 지원

SYSTEM, WORLD 또는 RESTRICTED와 같이 예약어 (이 게시물의 맨 아래에있는 "네이밍 규칙"링크에 테이블이 포함되어 있음)를 사용하지 마십시오 .

또한 두 가지 추가 규칙을 준수해야한다는 점에도 Microsoft에 동의합니다.

  1. 변경되거나 구식이 될 수있는 것을 기반으로 도메인 이름을 지정해서는 안됩니다. 제품 라인, 운영 체제 또는 시간이 지남에 따라 변경 될 수있는 다른 이름으로 도메인 이름을 지정합니다. 도로에서 5 년 또는 10 년 동안 이해하기에 충분할 정도로 지리적이거나 구체적인 것을 고수하십시오.
  2. 15 자 이하의 짧은 이름을 사용하면 NETBIOS 이름이 도메인 이름과 쉽게 동일하게됩니다.

마지막으로, 가능한 한 장기적으로 생각하는 것이 좋습니다. 회사는 인수 합병, 심지어 소규모 회사를 거치게됩니다. 또한 외부의 도움 / 상담을받는 관점에서 생각하십시오. SF의 컨설턴트 또는 사람들에게 많은 노력을 기울이지 않고도 설명 할 수있는 도메인 이름, AD 구조 등을 사용하십시오.

지식 링크 :

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

루트 포리스트 도메인 이름에 대한 Microsoft의 현재 (W2k12) 권장 사항 페이지


2

다음을 사용하는 데 동의하지 않습니다.

  • example.com-다른 답변에 이미 언급 된 이유로

나는 다음을 사용하여 동의 할 수있다 :

  • ad.example.com--다른 답변에서 이미 언급 한 이유로

그러나 나는 그것을 직접하거나 추천하지 않을 것입니다. 회사 인수 과정에서 특히 해당 지점의 경영진이 즉시 변화를 원할 때 모든 브랜딩 브랜딩이 느슨해집니다. 마이그레이션의 이름을 바꾸면 변경이 매우 어렵거나 비용이 많이 듭니다.

내가 추천하는 가장 좋은 방법은 회사 이름과 관련이없고 회사 브랜드와 관련이없는 도메인을 구입하는 것입니다. SIMPLE.CLOUD 또는 이와 유사한 기능은 소유 할 수있는 한 제대로 작동합니다.

몇 년 전에 구입 한 오래된 회사를 참조하는 AD를 사용하는 150k 명의 사용자가있는 대기업이나 이름을 변경 한 회사가 있지만 장기적으로는 \ login을 사용하는 것은 중요하지 않습니다. UPN을 사용하십시오) 변경하기가 왜 사소한 지 이해하지 못하는 경영진 앞에서 여전히 나빠 보입니다.


-15

나는 항상한다 mydomain.local.

local 유효한 TLD가 아니므로 실제 공개 DNS 항목과 경쟁하지 않습니다.

예를 들어, 나는 web1.mydomain.local웹 서버의 내부 IP로 web1.mydomain.com해석되고 외부 IP로 해석 된다는 것을 알고 싶습니다 .


7
FWIW, .local루트 L 서버에 대한 쿼리 -내가 보았을 때 ~ 800 / 초.
jscott

2
dot.Local, AKA dot.Fail
PnP

2
잘못된 TLD (또는 등록되지 않은 도메인)를 사용하는 것이 가장 좋은 방법은 아니며 위에서 언급 한 모든 이유로 최악의 방법입니다. 나는 .local을 사용했음을 인정할 것이지만 그것은 내가 더 잘 알기 전에였다.
Jonathan J
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.