注意 – 我知道AD命名有很多问题。 我不相信这是一个重复的问题。 如果是这样,请把我连接到相关的一个:)。
我们正在实施AD。 我们的大问题是域名。 我们已经在阅读了很多文章并与人交stream之后(我们现在是70/30 Mac)已经决定了。
我们正在设法弄清楚,我们是否应该使用ourdomain.com或corp.ourdomain.com作为我们的域名。
我们知道,如果我们去了ourdomain.com,那么如果人们没有预先loginwww,我们就会有潜在的问题。 到我们网站的url,我们愿意接受。
我们担心的是,如果还有其他的后果,我们不知道。 例如,如果我们的Exchange服务器托pipe在不属于局域网一部分的数据中心中,是否会遇到与DNS有关的问题?
概述我们有什么 –
我们的网站托pipe在一个外部数据中心,我们目前使用Google Apps,但计划迁移到Exchange(是的,我们知道这是逆势而行),也可能托pipe在数据中心或现场。
我们还广泛使用我们的UTM防火墙VPN,并在扩大规模时考虑思科VPN或Citrix解决scheme。
还有计划build立Windows分布式文件共享,并可能使用Centrify或Extreme-Z IP,如果我们发现原生Mac集成缺乏。
我们还计划使用AD作为身份validation的主干,使用它作为RADIUS和LDAP服务,用于跨内部Web应用程序和无线的身份validation和angular色pipe理。
我们看过http://msmvps.com/blogs/acefekay/archive/2009/09/07/what-s-in-an-active-directory-dns-name-choosing-a-domain-name.aspx,但我希望能够获得一些精通维护AD的人的最新信息,特别是在混合/分布式环境中。
绝对没有理由使用相同的AD域DNS名称作为您的外部面向Web的DNS区域。 没有。 完全一样。
微软build议使用一个现有的域的子域,所以像corp.yourdomain.com或ad.mydomain.com是好的。 如果您不希望用户看到其login名是corp\user ,则可以在域中第一个DC的DCPROMO过程中将该域的NetBIOS名称设置为MYDOMAIN 。 最终的结果是你的域名的FQDN是corp.mydomain.com但是你的用户会看到mydomain\user 。 通过这种方式,您可以拥有“漂亮”的login名,而不需要完整的水平分割DNS。
严重的是,没有任何合理的理由与AD基础架构分裂开来。