Tanta repetição a ser obtida. Venha a mim precioso.
Ok, então é muito bem documentado pela Microsoft que você não deve usar o split-horizon, ou um TLD inventado como você já ligou muitas vezes (grite para o meu blog!). Existem algumas razões para isso.-
O problema
www
que você apontou acima. Irritante, mas não é um disjuntor de negócio. -
Obriga você a manter registros duplicados para todos servidores voltados ao público que também podem ser acessados internamente, não apenas
www
.mail.hopelessnoob.com
é um exemplo comum. Em um cenário ideal, você teria uma rede de perímetro separada para itens comomail.hopelessnoob.com
oupublicwebservice.hopelessnoob.com
. Com algumas configurações, como um ASA com interfaces internas e externas , você precisa de NAT dentro de dentro ou DNS de divisão de horizonte mesmo assim , mas para organizações maiores com uma rede de perímetro legítima onde seus recursos voltados para a Web não são t atrás de um limite NAT de grampo de cabelo - isso causa um trabalho desnecessário. -
Imagine este cenário: você é
hopelessnoob.com
interna e externamente. Você tem uma corporação com a qual você está se associando chamadoexample.com
e eles fazem a mesma coisa - dividir o horizonte internamente com seu AD e com seu namespace DNS publicamente acessível. Agora, você configura uma VPN site a site e deseja autenticação interna para que a confiança percorra o túnel enquanto tem acesso a seus recursos públicos externos para passar pela Internet. É quase impossível sem roteamento de política incrivelmente complicado ou manter sua própria cópia de sua zona de DNS interna - agora você acabou de criar um conjunto adicional de registros DNS para manter. Então você tem que lidar com hairpinning ao seu ladoseu fim, política de roteamento / NAT, e todos os tipos de outros truques. (Eu estava nessa situação com um AD que herdei). -
Se você já implantou o DirectAccess , ele simplifica drasticamente suas políticas de resolução de nomes - isso provavelmente também é verdade para outras tecnologias VPN de túnel dividido também.
Alguns destes são casos de borda, alguns não são, mas são todos facilmente evitados. Se você tem a capacidade de fazer isso desde o início, também pode fazê-lo da maneira correta para que você não encontre um desses em uma década.