O nome do domínio raiz deve ser registrado ao criar uma nova floresta no Active Directory?

3

Ao criar uma nova floresta no Active Directory no meu controlador de domínio que executa o Windows Server 2012 R2, fui solicitado a especificar um nome de domínio raiz. O nome de domínio deve ser registrado e de minha propriedade? O que aconteceria se eu entrasse em um domínio registrado e pertencente a outras pessoas, como o microsoft.com? Mais tarde, quando eu tentar adicionar um computador Windows a esse domínio, ele sairá pela Internet e procurará pelo microsoft.com ou ele pesquisaria apenas em sua sub-rede (meu controlador de domínio)? Seria seguro / preferível apenas inserir um domínio que possua como microsoft.com?

    
por Aaron 11.08.2015 / 14:19

2 respostas

3

O nome de um domínio do Active Directory é apenas para uso interno, assim você poderia nomeá-lo como quiser; no entanto, em um ambiente do Active Directory, o nome de domínio também atua como o sufixo DNS para todos os computadores no domínio e os controladores de domínio atuam como servidores DNS internos que são (ou pelo menos se comportam como eram) autoritativos para esse domínio DNS.

O que isso significa é que, se o nome de domínio do AD entrar em conflito com um nome de domínio real existente na Internet, todas as consultas DNS para esse domínio serão respondidas pelos seus DCs e não pelos servidores DNS da Internet que o gerenciam. No seu caso, se você nomear seu domínio "microsoft.com", você teria todos os tipos de problemas ao tentar se conectar a sites ou serviços da Microsoft, porque não seria possível consultar os servidores DNS públicos desse domínio ( como seus servidores DNS internos acreditariam que eles o possuem corretamente.

A propósito, o mesmo é verdadeiro se você usar seu domínio DNS público real como seu domínio do Active Directory: as coisas são muito mais simples porque você realmente possui os dois, mas isso ainda requer que você mantenha duas configurações distintas de DNS para o domínio. mesmo domínio, um para a Internet e outro para a sua rede interna.

Como prática recomendada, você deve usar um subdomínio de seu domínio DNS público como seu nome de domínio do AD; if f.e. seu domínio público é "domain.com", você pode usar "internal.domain.com" ou "ad.domain.com" ou qualquer outro, desde que seja um subdomínio válido; isso garantirá que não haja conflitos e muito menos dores de cabeça.

Você deve, de qualquer forma, não usar qualquer nome de domínio que você não possua, mesmo que não esteja ativo no momento (porque ele ainda pode ser registrado por alguém mais do que você, e as dores de cabeça seguir).

    
por 11.08.2015 / 14:41
0

Como uma boa prática, você só configura o DC local como um DNS para os computadores (nenhum DNS externo).

Assim, significa que todas as consultas para * Microsoft.com serão respondidas pelo seu DC e farão com que elas falhem como desconhecidas se tentarem ir ao site como support.microsoft.com ou em qualquer outro lugar.

Com o tld do país, agora você pode ter muito nome de domínio e não custa nada, não há motivo algum para não possuí-lo.

    
por 11.08.2015 / 14:34