Prós e contras do uso de nome de domínio interno ou externo para o Active Directory

Criei e suportei dezenas de florestas do Active Directory na última década, desde a criação de servidores SBS de 10 usuários até a administração de 6.000 florestas de usuários com mais de 50 DCs e o redesenho da coisa toda. Posso dizer que não vejo razão para NÃO usar seu nome de domínio da Internet .com para o nome da floresta do AD se você planejar adequadamente. A Microsoft parou de recomendar o uso do domínio .local anos atrás devido às incompatibilidades do Bonjour com versões mais antigas do Mac OS X e pelas razões citadas por você. A ideia dos dias do Win2000 de tornar um domínio-raiz "sem membros" com o domínio principal sendo um subdomínio também está fora da janela devido a melhores ferramentas e gerenciamento agora.

Razões para fazer DNS "split-brain" com o domínio da Internet e do AD sendo o mesmo:

1. Melhor motivo: os URLs para aplicativos da web são iguais por dentro e por fora para os usuários (recomendamos adicionar seu nome de domínio interno à zona de segurança da intranet do IE por meio do GPO)
Opção
2. para facilitar o logon e o endereço de e-mail da mesma forma (o modo de logon do NT4 é domínio \ usuário, mas no Windows moderno também é necessário [email protected])
3. Endereço SIP do OCS / Lync igual ao email e login
4. Você pode usar seus certificados públicos para servidores internos em vez de sua CA privada

Negativos:

1. VPN de túnel dividido A complexidade entra em jogo quando os computadores clientes fora de sua rede precisam decidir usar o IP público para website.domain.com ou o interno. Muitas vezes, as empresas (para serem baratas e economizam largura de banda) definem as configurações de cliente VPN do Windows para o túnel dividido, que informa ao Windows para enviar somente tráfego para a intranet destinada a nomes / IP internos. Quando o DNS pode resolver os mesmos nomes dentro e fora da rede, qual deve escolher usar? O Windows fornecerá resultados mistos para os registros DNS (privados ou públicos) a serem usados pelo cliente. Minha recomendação: não permita o túnel dividido nas VPNs do cliente.

O gerenciamento de DNS é a principal dor de cabeça que você enfrentará.

• Resolução de domínio:

Os sistemas no domínio esperam poder resolver os controladores de domínio quando solicitam o FQDN do domínio. Isso é um problema se seus usuários, por exemplo, quiserem acessar o site, colocando company.com em seus navegadores; essa entrada de DNS deve apontar para os controladores de domínio (e os usuários precisarão inserir www.company.com para o site).

• Gerenciamento de zona dupla:

Da mesma forma, os servidores do Active Directory serão definidos como autoritativos para a company.com zone. Então, você estará efetivamente administrando duas cópias da zona; aquele no diretório ativo, e aquele que os usuários da Internet verão. Todas as entradas que seus usuários internos precisarão acessar precisarão ser criadas e atualizadas nos dois locais.

A vantagem que você citou para os certificados pode ser obtida com alguns truques de DNS, sem necessariamente precisar se comprometer com a sobreposição para sempre. Por outro lado, é útil, do ponto de vista da usabilidade, que o endereço de e-mail dos usuários corresponda ao Nome do Princípio do Usuário.

Tendo participado de um projeto de migração de anúncios demorado (e muito caro), eu me tornei um fã de ter um anúncio interno que é "genérico" em relação ao nome da sua empresa. Se você estiver em uma empresa que pode ser comprada ou incorporada a outra empresa, talvez não precise alterar seu domínio de anúncios devido a uma decisão comercial.

por exemplo, se você estiver no ramo de calçados, poderá comprar um nome de domínio como o corpshoe.net e usá-lo apenas para o diretório ativo. Seu website corporativo e e-mail podem permanecer iguais aos seus nomes de domínio regulares e, se a sua empresa mudar, seu anúncio não precisará.

Eu também acredito que você deve possuir o nome do seu anúncio no mundo externo. apenas torna tudo mais fácil.