在AD命名最佳实践的主题上,我非常认真地阅读了serverfault.com上的这个Q / A , 这个Samba FAQ和各种微软的文档。 我100%同意一般的build议:使用您的主域名(即: ad.example.com )的合适的子域名作为您的AD名称。
但是,使用这样的设置时,我想知道如何正确pipe理可以在内部networking和远程连接上的移动主机(例如笔记本电脑和智能手机)。
举一个实际的例子,我们来考虑一个带有内部邮件服务器的简单邮件客户端设置。 有了专门的三级域名( ad.example.com ),我有两个select:
mail.ad.example.com设置内部邮件客户端:在networking内部工作良好的情况下,当客户端处于远程连接时,会失败。 要求用户更改邮件configuration是绝对不切实际的,所以我们完全放弃这个选项; mail.example.com :这应该适用于内部和外部客户端,但内部通信stream量是次优的,因为客户端使用公共 IP地址parsing内部邮件服务器地址,所以stream量在边缘防火墙上来回跳动。 这会导致设备的负载增加,而UTM防火墙甚至更糟糕,因为这些防火墙深度检查(仅限于内部)stream量。 你如何应对上述情况? 你是否接受并增加边缘防火墙的负载?
我知道这个问题可以通过拆分DNS命名scheme完全避免(例如,在外部和内部DNS上的example.com )。 然而,这个命名scheme有它自己的缺点,并且(通常)不被推荐。
将mail.example.com用于内部和外部邮件客户端。 内部DNS服务器上的logging应将客户端指向内部邮件服务器地址。 networking外的客户端将被路由到外部邮件服务器地址。