为Active Directoryselect本地与公共域名

select本地域名(如mycompany.local)与公共注册域名(如mycompany.com)(假设您的组织已经注册了公共名称)有什么优缺点? 你什么时候select一个呢?

UPDATE

感谢Zoredache和Jay向我指出了这个问题 , 这个问题最有用。 这也导致我find这个微软Technet的文章 ,其中指出:

最好使用在Active Directory名称空间中的Internet权限注册的DNS名称。 只有注册名称保证是全球唯一的。 如果另一个组织稍后注册了相同的DNS域名,或者您的组织与其他公司合并,获取或被其他使用相同DNS名称的公司合并,则这两个基础架构不能互相交互。

注意

不build议使用单个标签名称或未注册的后缀,如.local。

结合mrdenny的build议,我认为正确的做法是使用:

  1. 注册域名永远不会公开使用(例如mycompany.org,mycompany.info等)。
  2. 现有公有域名的子域永远不会公开使用(如corp.mycompany.com)。

“从未公开”的部分是一个商业决定,所以它最好是从授权保留域名和子域名的公司获得签名。 例如,您不希望使用营销部门稍后想要用于某些公开市场营销活动的注册名称或子域名。

以下是我对类似问题的回答摘录: 专用networking的顶级域名/域名后缀? 。

微软也推荐了

  1. 一个在互联网上不可用的专用的注册域名

  2. 您公有域名的子域名,用作Active Directory林根域名

自从他们在Windows 2000 Server中发布Active Directory以来。 对我而言,使用公有域名的子域名的主要好处是名称空间的一致性,导致您,其他pipe理员和用户不得不记住的一件事。


将您公司的注册域名的子域名用于不想在Internet上提供的名称的内部机器。 (当然,只能在内部DNS服务器上托pipe这些名称。)下面是虚构的Example Corporation的一些示例。

面向Internet的服务器:
http://www.example.com
mail.example.com
dns1.example.com

内部机器:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

我用“corp”来表示这个子域在内部公司networking上描述了机器,但是你可以在这里使用任何你想要的东西,比如“internal”:client1.internal.example.com。

使用相同的域名会使事情变得困难。

不幸的是使用.local也会导致问题。 尤其是.local用于Bonjour / Zeroconf。 如果您使用.local tld,则需要在运行avahi的任何OSX机器或Linux主机上调整设置。

在有些相关的问题“ 专用networking的顶级域名 ”。 关于你不应该使用什么有很多的build议,但是关于什么TLD应该用于私人networking没有真正的共识。

除非我弄错了,如果是我,请纠正我的错误,但我不相信IETF有任何内容,IANA或任何其他标准组织都允许使用.local作任何事情。

您不应该为您的AD名称使用公共域名。

  1. 你会发现的第一个问题是访问你自己的公共网站。 您的公共网站名称与您的内部网站名称相符。 所以当你为mycompany.com做一个nslookup ,你会得到你的内部AD服务器的IP地址,而不是公司的公有IP地址。 如果您为公共站点设置FTP名称,则无法find该名称。

    解决其中一些问题的方法是将公有名称和IP放到您的内部DNS中,以便您可以从防火墙内击中它们,但是这意味着当公共方面发生任何变化时,您现在必须pipe理两个DNS场。

  2. 让他们分开的另一个原因是,攻击者不知道你的内部域名。 不知道域名只是攻击者需要弄清楚的一个难题。

如果你不想使用你的外部命名空间,你的任何想法(像corp.mycompany.com或mycompany.net)运作良好,并且是常见的。 我倾向于个人偏好的子域.net选项,但我已经做了很多次。

上面提到的TechNet文章比这个更早;

  • DNS名称空间规划

在这里,微软始终build议使用Active Directory域名的私有名称空间。 您还可以find有关使用公共注册域名的缺点和问题的详细信息。

早在2000年,就有一个IETF互联网草案,题为“ 专用DNS的顶级域名” ,推荐使用.pri

保留的顶级域名“.pri”将允许安全地select私人域名,而不存在与当前或未来注册的域名冲突的风险。

专用DNS服务器configuration为“.pri”域的权威,并根据需要委派专用子域。

不知道是怎么回事,但这是一个膨胀的想法。
(更新:IETF Tracker表示: 草稿永远不会进一步 。)