Problemas ao usar o domínio real para o domínio do Active Directory?

Eu gosto dessa abordagem ... O único fator PITA que encontrei com isso é que, se você fizer uma alteração em seu servidor de DNS externo (para serviços públicos, não vinculados a AD), precisará lembrar-se de alterar / adicionar a entrada no seu servidor DNS interno.

Assim, por exemplo, se você mover seu site para outro endereço IP e alterar sua entrada com register.com (ou godaddy ou qualquer outro lugar), será necessário entrar e alterar o IP em seu servidor DNS local.

EDITAR: Me deparei com um artigo da MS chamado " Convenções de nomenclatura para o Active Directory para computadores, domínios, sites e UOs ".

Nesse documento, eles dizem:

A DNS namespace that is connected to the Internet must be a subdomain of a top-level or second-level domain of the Internet DNS namespace.

Além disso, nesse documento, eles recomendam algo como corp.yourdomain.com como exemplo.

Não use seu "nome de domínio real" para um nome de domínio do Active Directory. A razão que AdamB deu como um "fator PITA" é exatamente a razão para não fazê-lo, e não é apenas um "PITA".

É uma má prática montar um servidor DNS com autoridade para um domínio que já tenha servidores de nomes com autoridade em outro lugar. Se você fizer isso, em breve você vai querer resolver os nomes "já autoritativos" e ter uma bagunça de duplicar manualmente os registros em seus servidores DNS internos.

Se você quiser um namespace contíguo ao seu nome de domínio "real", tente algo como "ad.company.com". Deixe o "company.com" fora disso.

Editar:

Agora eu acho que vejo onde você está indo. Você deve estar realmente atualizado sobre como o DNS é usado pelo Active Directory ( < href="http://technet.microsoft.com/pt-br/library/cc759550(WS.10).aspx"> link ). Você realmente quer para hospedar o DNS do Active Directory localmente!

O DNS do seu nome de domínio da Internet (para seu e-mail, site, etc) absolutamente deve ser hospedado externamente , mas isso não precisa ser (e realmente não deveria ser) o mesmo nome de domínio que você usa para o seu nome de domínio do Active Directory.

Seu host DNS externo provavelmente não suportará todos os recursos necessários para que o Active Directory funcione corretamente em seus servidores DNS. Em particular, eles provavelmente não suportarão o registro dinâmico de DNS ou atualizações seguras baseadas em GSSAPI.

Além disso, todos os seus computadores clientes e servidores de domínio precisarão do DNS para fazer coisas básicas, como logons e aplicativos da política de grupo. Você não quer amarrar isso à sua conexão com a Internet!

Você precisa usar um computador com Windows Server para hospedar o próprio Active Directory. É prática comum também usar esses computadores de controlador de domínio para hospedar o DNS do Active Directory (e frequentemente encaminhar solicitações de outros nomes para os servidores DNS do ISP ou os servidores DNS raiz) e usar esses servidores DNS como servidores DNS para todos os domínios. -membro de clientes e servidores.

Eu herdei uma rede onde os nomes DNS internos e externos eram os mesmos. Este era um negócio relativamente pequeno, com apenas alguns hosts externos, então os problemas que tive foram menores. O DNS interno foi hospedado localmente e eu recomendo strongmente que você faça o mesmo. O DNS externo estava hospedado em um ISP e incluía apenas registros de hosts que precisavam ser acessíveis pela Internet. Os problemas (menores) que tive foram, principalmente, garantir que eu duplicasse quaisquer hosts acessíveis pela Internet no DNS interno e externo.

Por exemplo, mail.company.com era acessível dentro e fora da rede, assim como os hosts vpn e www . Eu precisava garantir que os dois servidores DNS fossem alterados quando algum desses hosts fosse alterado (o que eles fizeram algumas vezes).

Conclusão: essa não é uma prática recomendada. Mas se você tiver apenas alguns hosts acessíveis pela Internet, não é um grande negócio. Você realmente deve hospedar seu DNS do AD em seus controladores de domínio locais. Você provavelmente não deve expor seu DNS local à Internet.