是否有任何理由,我不应该使用example.com作为我的AD域与example.local或一些其他不存在的变种?
我喜欢这种方法…我发现唯一的PITA因素是如果你改变你的外部DNS(对于公共服务,而不是AD链接)的服务器,你必须记得改变/添加条目您的内部DNS服务器。
所以,举例来说,如果您将您的网站移动到另一个IP地址并通过register.com(或godaddy或任何地方)更改您的条目,则必须进入并更改本地DNS服务器上的IP。
编辑:我遇到了一个名为“ 为计算机,域,网站和OU的Active Directory的命名约定 ”的MS文章。
在那份文件中,他们说:
连接到Internet的DNS名称空间必须是Internet DNS名称空间的顶级域或二级域的子域。
在那个文档中,他们推荐像corp.yourdomain.com这样的例子。
不要将您的“真实域名”用于Active Directory域名。 AdamB作为“PITA因素”给出的原因正是其原因,而不仅仅是“PITA”。
build立一个对已经拥有其他权威域名服务器的域具有权威性的DNS服务器是一个不好的做法。 如果你这样做,你很快就要解决“已经权威”的名字,并且把一些logging手动复制到你的内部DNS服务器上。
如果你想要一个与你的“真实”域名相邻的名字空间,可以尝试类似“ad.company.com”的东西。 离开“company.com”。
编辑:
现在我想我明白你要去哪里了 你应该真正了解如何使用Active Directory的DNS( http://technet.microsoft.com/en-us/library/cc759550 ( WS.10 ) .aspx )。 你真的想在本地托pipeActive Directory的DNS!
您的互联网域名(用于您的电子邮件,网站等)的DNS绝对应该由外部托pipe ,但这并不一定是(也不应该是)与您的Active Directory域名相同的域名。
您的外部DNS主机可能不会支持使您的DNS服务器正常工作所需的所有function。 尤其是,他们可能不会支持dynamicDNS注册或基于GSSAPI的安全更新。
除此之外,你所有的域成员客户端和服务器计算机将需要DNS做基本的事情,如login和应用组策略。 你不想把你的互联网连接起来!
您必须使用Windows Server计算机来托pipeActive Directory本身。 通常的做法是,也使用这些域控制器计算机来为Active Directory托pipeDNS(并经常将其他名称的请求转发给ISP的DNS服务器或根DNS服务器),并将这些DNS服务器用作所有域的DNS服务器 – 成员客户端和服务器计算机。
我inheritance了内部和外部DNS名称相同的networking。 这是一个相对较小的业务,只有less数外部主机,所以我遇到的问题很小。 内部DNS在本地托pipe,我强烈build议你也这样做。 外部DNS由ISP托pipe,仅包含需要从Internet访问的主机的logging。 我遇到的(小问题)主要是为了确保我在内部和外部的DNS上都复制了任何可以上网的主机。
例如, mail.company.com可以在networking内部和外部访问,主机vpn和www也是如此 。 我需要确保当这些主机中的任何一个发生了变化(他们做了几次)时,两台DNS服务器都被更改了。
底线 – 这不是一个最佳做法。 但是,如果你只有几台可以上网的主机,那不是什么大不了的事情。 你应该真的在你的本地域控制器上托pipe你的AD DNS。 你可能不应该暴露你的本地DNS到Internet。