これは、Active Directoryドメインの命名に関する標準的な質問です。
仮想環境でWindowsドメインとドメインコントローラーを試した後、DNSドメインと同じexample.com名前のActive Directory ドメインを持つことは悪い考えであることに気付きました(つまり、example.comドメイン名がある場合、Active Directory名として持っていることは意味がありません当社のウェブサイトとして使用するために登録されています)。
この関連する質問はその結論を裏付けているように見えますが、Active Directoryドメインの命名に関して他にどのようなルールがあるのかはまだわかりません。
Active Directoryの名前がどうあるべきか、そうでないべきかについてのベストプラクティスはありますか?
回答:
これは、サーバーフォールトに関する興味深いトピックでした。トピックにはさまざまな「宗教的見解」があるようです。
Microsoftの推奨事項に同意します。会社の既に登録されているインターネットドメイン名のサブドメインを使用します。
だから、所有している場合foo.com、使用ad.foo.comするなど。
私が見るように、最も厄介なことは、Active Directoryドメイン名に登録済みのインターネットドメイン名をそのまま使用することです。これにより、インターネットDNS(などwww)からActive Directory DNSゾーンに手動でレコードをコピーして、「外部」名を解決できるようにする必要があります。私はfoo.com、ブラウザに入る人www.foo.comがこれらのIISインストールによってリダイレクトされるようにリダイレクトを行うWebサイトを実行している組織のすべてのDCにインストールされたIISのような馬鹿げたものを見てきました。愚かな愚かさ!
インターネットドメイン名を使用しても利点はありませんが、外部ホスト名が参照するIPアドレスを変更するたびに「機能する」ようになります。(外部ホストに地理的に負荷分散されたDNSを使用し、それをこのような「スプリットDNS」状況と統合してみてください!ジー-楽しいでしょう...)
このようなサブドメインを使用しても、Exchangeメール配信やユーザープリンシパル名(UPN)サフィックス、BTWなどには影響しません。(私はしばしば、インターネットドメイン名をADドメイン名として使用する言い訳として引用されているものを見ます。)
「多くの大企業がそれをやっている」という言い訳も見ます。大企業は、中小企業と同じくらい(そうでないにしても)簡単な決定を下すことができます。大企業が悪い決定を下し、それが何らかの形で良い決定を下すという理由だけで、私はそれを買いません。
この質問に対する正しい答えは2つだけです。
パブリックに使用するドメインの未使用のサブドメイン。たとえば、パブリックWebプレゼンスがexample.com内部AD である場合、ad.example.comまたはなどの名前が付けられますinternal.example.com。
自分が所有し、他のどこにも使用していない未使用の第2レベルドメイン。たとえば、パブリックWebプレゼンスが登録されている限りexample.com、ADに名前が付けられ、他の場所では使用されない可能性があります。example.net example.net
これらは2つだけの選択肢です。あなたが何か他のことをするなら、あなたは自分自身を多くの痛みと苦しみに開放したままにしている。
しかし、誰もが.local!を使用しています。
関係ありません。してはいけません。.localや.lanや.corpのような他のTLDの使用についてブログに書いています。どんな状況でもこれを行うべきではありません。
より安全ではありません。一部の人々が主張するような「ベストプラクティス」ではありません。そして、それは持っていない任意の私が提案してきた二つの選択肢を超える利益を。
しかし、ユーザーがexample\user代わりに使用できるように、パブリックWebサイトのURLと同じ名前を付けたいのですが、ad\user
これは有効ですが、見当違いの懸念です。ドメインの最初のDCを昇格させるとき、ドメインのNetBIOS名を任意の名前に設定できます。私のアドバイスに従い、ドメインをにad.example.com設定すると、ドメインのNetBIOS名をにexample設定して、ユーザーがとしてログオンできるようになりますexample\user。
Active Directoryフォレストと信頼では、追加のUPNサフィックスも作成できます。ドメイン内のすべてのアカウントのプライマリUPNサフィックスとして@ example.comを作成および設定することを妨げるものは何もありません。これを以前のNetBIOSの推奨事項と組み合わせると、ドメインのFQDNがであることがエンドユーザーにはわかりませんad.example.com。彼らが見るすべてはexample\またはになり@example.comます。FQDNを使用する必要があるのは、Active Directoryを使用するシステム管理者だけです。
また、スプリットホライズンDNS名前空間を使用すると仮定します。つまり、AD名は公開Webサイトと同じです。現在、ブラウザにexample.comプレフィックスを付けるwww.か、すべてのドメインコントローラーでIISを実行しない限り、ユーザーは内部にアクセスできません(これは悪いことです)。また、2つをキュレートする必要がありますばらばらの名前空間を共有する非同一のDNSゾーン。それは価値があるよりも本当に面倒です。ここで、あなたが他の会社とパートナーシップを結び、ADと外部プレゼンスを備えたスプリットホライズンDNS構成を持っていると想像してください。2つの間にプライベートファイバーリンクがあり、信頼を作成する必要があります。これで、すべてのパブリックサイトへのトラフィックはすべて、インターネットを経由するのではなく、プライベートリンクを通過する必要があります。また、両側のネットワーク管理者にあらゆる種類の頭痛の種をもたらします。これを避けてください。私を信じて。
しかし、しかし...
真剣に、私が提案した2つのもののうちの1つを使用しない理由はありません。他の方法には落とし穴があります。ドメイン名が機能している場合、急いでドメイン名を変更するように言っているわけではありませんが、新しいADを作成する場合は、上記で推奨した2つのことのいずれかを実行してください。
MDMarraの回答を支援するには:
ドメイン名に単一ラベルのDNS名を使用しないでください。これは、Windows 2008 R2より前のバージョンで利用可能でした。理由/説明はここにあります: 単一ラベルDNS名を使用して構成されたActive Directoryドメインの展開と操作| Microsoftサポート
SYSTEMやWORLD、RESTRICTEDなどの予約語(表はこの投稿の下部にある「命名規則」リンクに含まれています)を使用しないことを忘れないでください。
また、Microsoftには、2つの追加規則に従う必要があるという点でも同意します(それは明確に設定されていませんが、それでも):
最後に、できるだけ長期的に考えることをお勧めします。企業は、中小企業であっても、合併や買収を行います。また、外部からの助けや相談を受けることも考えてください。ドメイン名、AD構造などを使用します。これらは、多くの労力をかけずにSFのコンサルタントまたは人々に説明できます。
ナレッジリンク:
http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx
http://support.microsoft.com/kb/909264
私は使用に同意しません:
私は使用を受け入れることができます:
しかし、私は自分でそれをしたり、推奨したりしません。企業買収の際、特にその時点での経営陣が物事をすぐに変えたいと望んでいる場合、すべての地獄のブランド変更は緩やかになります。移行の名前を変更すると、変更は非常に困難または高価になります。
私がお勧めする最良の方法は、会社名とは無関係で、会社のブランドとは無関係のドメインを購入することです。SIMPLE.CLOUDまたは類似のものは、所有できる限り正常に機能します。
ADを使用している15万人のユーザーを持つ大企業は、数年前に購入した古い会社を参照しています。 UPNを使用します)変更するのが簡単ではない理由を理解していない経営者の前では、まだ見た目が悪いです。
私はいつもやりますmydomain.local。
local 有効なTLDではないため、実際のパブリックDNSエントリと競合することはありません。
たとえばweb1.mydomain.local、Webサーバーの内部IPにweb1.mydomain.comは解決されるが、外部IPには解決されることを知ることができるのが好きです。
corpはありませんfoo。