Pena que eu não estava acordado para a festa, né? Eu vou dar um jeito mesmo assim.
Eu lecionei aulas de MCSE por vários anos, e as recomendações da Microsoft sempre foram bastante consistentes entre seus vários materiais de treinamento.
-
Não use um nome de domínio que você não possui para o seu nome de domínio do Active Directory (por exemplo, microsoft.com).
-
Não use um FQDN para o domínio que outros servidores DNS já são autoritativos (por exemplo, company.com)
-
Use um FQDN para o domínio globalmente exclusivo (por exemplo, ad.company.com, corp.company.com).
Acredito que a "recomendação" do TLD ".local" começou na época do Windows Small Business Server 2003. O TLD ".local" não é reservado pela ICANN, embora seja duvidoso, neste momento, que jamais seria usado "de verdade" na Internet (o protocolo Zeroconf também tem dependências do TLD ".local", acredito).
Eu já estive em muitos ambientes onde o "company.com" foi usado para o nome de Domínio do AD, necessitando de hacks estúpidos que envolviam a cópia manual de registros DNS dos servidores DNS da Internet nos servidores DNS que suportam o AD. Eu respondi a um monte de perguntas neste site que se resumem a essa pobre escolha de nome de domínio, fazendo com que os hacks tenham que ser implementados (ter que executar servidores web para redirecionamentos para o site "real" "company.com" em todos os sites). Controlador de domínio AD, etc.).
Não sei por que as empresas persistem em fazer o esquema de nomenclatura "company.com" para domínios do AD. Isso só cria problemas. Não há qualquer bom argumento porque você deve fazê-lo, e "vai contra" o princípio básico do DNS que apenas um conjunto de servidores DNS no mundo deve ser autoritativo para um determinado nome de domínio DNS . (Muitas vezes ouço o argumento "sufixo UPN". Se você quiser que os usuários tenham um sufixo UPN de "@ company.com", por exemplo, você pode fazer isso sem realmente nomear o domínio "company.com". os usuários podem ter sufixos UPN "@ whitehouse.gov" se você quiser, considerando o nome do domínio ...)
Sempre gostei de "ad.company.com".
A ideia de domínio "raiz vazia" é puramente uma construção política. Originalmente (período de tempo do W2K), a Microsoft promoveu a "raiz vazia" como uma maneira de isolar as preocupações de segurança entre partes de uma organização e, ao mesmo tempo, ter uma única infraestrutura de AD. Felizmente, eles desistiram dessa atitude (embora não tenham necessariamente voltado e corrigido todos os documentos que estavam errados), uma vez que foi demonstrado que qualquer membro de "Admins. Do Domínio" em qualquer domínio da floresta do AD pode, de forma justa. facilmente, tornar-se membros do grupo "Enterprise Admins".
Então, hoje em dia "raiz vazia" só é realmente usada para fins políticos. Eu diria que não há lugar para isso porque adiciona complexidade desnecessária (nunca, jamais, um ambiente de domínio múltiplo onde um ambiente de domínio único serve) e não oferece vantagens reais .
Se você deseja o isolamento de segurança entre as preocupações em sua organização, você deve usar uma implantação de várias florestas (que é absolutamente o tipo menos divertido de ambiente e deve ser evitado a todo custo).