Escolhendo local versus nome de domínio público para o Active Directory [duplicado]

Navegue suas respostas
24

Quais são os prós e contras de escolher um nome de domínio local, como mycompany.local, versus um nome de domínio registrado publicamente, como mycompany.com (supondo que sua organização registrou o nome público)? Quando você escolheria um sobre o outro?

UPDATE

Obrigado a Zoredache e Jay por me apontar para esta pergunta , que teve as respostas mais úteis. Isso também me levou a encontrar este artigo da Microsoft Technet , que afirma:

It is best to use DNS names that are registered with an Internet authority in the Active Directory namespace. Only registered names are guaranteed to be globally unique. If another organization later registers the same DNS domain name, or if your organization merges with, acquires, or is acquired by other company that uses the same DNS names, then the two infrastructures cannot interact with one another.

Note

Using single label names or unregistered suffixes, such as .local, is not recommended.

Combinando isso com o conselho de mrdenny, acho que a abordagem correta é usar:

  1. Nome de domínio registrado que será nunca ser usado publicamente (por ex. mycompany.org, mycompany.info, etc).
  2. Subdomínio de um nome de domínio público existente que nunca será ser usado publicamente (por ex. corp.mycompany.com).

A parte "nunca usada publicamente" é uma decisão de negócios, por isso é melhor conseguir assinar com as pessoas autorizadas a reservar nomes de domínio e subdomínios. Por exemplo. você não quer usar um nome ou subdomínio registrado que o departamento de marketing depois queira usar para alguma campanha de marketing público.

    
por DSO 03.10.2009 / 21:17

6 respostas

13

Abaixo, um trecho da minha resposta a uma pergunta semelhante encontrada em: Domínio de nível superior / sufixo de domínio para rede privada? .

A Microsoft recomendou

  1. um nome de domínio registrado e dedicado que não está disponível na Internet

  2. um subdomínio do seu nome de domínio público para uso como nome de domínio raiz da floresta do Active Directory

desde que lançaram o Active Directory no Windows 2000 Server. Para mim, o principal benefício de usar um subdomínio do seu nome de domínio público é uma consistência de namespace, resultando em uma coisa a menos que você, outros administradores e usuários precisam lembrar.

Use um subdomínio do domínio registrado da sua empresa para máquinas internas cujos nomes você não deseja que estejam disponíveis na Internet. (Então, é claro, hospede apenas esses nomes em seus servidores DNS internos.) Aqui estão alguns exemplos para a fictícia Example Corporation.

Servidores voltados para a Internet:
www.example.com
mail.example.com
dns1.example.com

Máquinas internas:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

Eu usei "corp" para indicar que este subdomínio descreveu máquinas na rede corporativa interna, mas você pode usar qualquer coisa que quiser aqui, como "interno": client1.internal.example.com.

    
por 04.10.2009 / 05:26
7

Usar o mesmo domínio dificultará as coisas.

Infelizmente, o uso de .local também pode causar problemas. Em particular, o .local é usado para Bonjour / Zeroconf. Se você usar uma .ldocal tld, precisará ajustar as configurações em qualquer máquina OSX ou host Linux executando o avahi.

Na questão um pouco relacionada ' Domínio de nível superior para redes privadas '. Há muitos conselhos sobre o que você deve não usar, mas não há realmente nenhum consenso sobre qual TLD deve ser usado para redes privadas.

A menos que eu esteja enganado, e por favor me corrija se eu sou, mas eu não acredito que haja qualquer coisa do IETF, IANA, ou qualquer um dos outros órgãos de padrões permite o uso de .local para qualquer coisa.

por 04.10.2009 / 04:34
3

Você realmente nunca deve usar um nome de domínio público para o nome do seu anúncio.

  1. O primeiro problema que você encontrará é acessar seu próprio site público. O nome do seu site público corresponde ao nome do seu site interno. Então quando você faz um nslookup para mycompany.com você recebe de volta seu interno Endereços IP do servidor AD, e não o IP público para os sites. Se você configurar um nome de FTP para o seu site público, você não será capaz de encontrar esse nome também.

    O trabalho em torno de alguns destes é colocar os nomes públicos e IPs em seu DNS interno para que você possa atingi-los de dentro do firewall, mas isso significa que agora você tem que gerenciar dois farms DNS quando qualquer coisa no lado público muda.

  2. Outro motivo para mantê-los separados é para que um invasor não saiba seu nome de domínio interno. Não saber o nome do domínio é apenas mais uma peça do quebra-cabeça que um invasor precisaria descobrir.

por 03.10.2009 / 23:55
1

Se você não quiser usar o seu namespace externo, qualquer um dos seus pensamentos (algo como corp.mycompany.com ou mycompany.net) funciona bem e é comum. Eu costumo preferir a opção .net sobre o subdomínio pessoalmente, mas eu fiz as duas vezes.

    
por 04.10.2009 / 18:55
1

O artigo do TechNet acima é mais antigo que isso;

Aqui, a Microsoft sugere consistentemente usar um namespace privado para o nome de domínio do Active Directory. Você também encontrará detalhes com marcadores sobre as desvantagens e problemas de uso de um nome de domínio registrado publicamente.

    
por 21.11.2010 / 11:43
1

Em 2000, havia um IETF Internet-Draft intitulado domínio de nível superior DNS para particulares Redes que recomendam o uso de .pri :

A reserved top level domain name, ".pri", would allow a private domain name to be chosen safely with no risk of conflict with current or future registered domain names.

A private DNS server is configured as authoritative for the ".pri" domain, and delegates the private subdomains as appropriate.

Não sei o que aconteceu com isso, mas foi uma ótima idéia.
(Atualização: o IETF Tracker diz: rascunho nunca foi além .)

    
por 18.01.2012 / 23:45
Práticas recomendadas do pool de aplicativos do IIS 7.x Impedir que mensagens sejam marcadas como spam