it-swarm.asia

Windows Active Directory adlandırma en iyi yöntemleri?

Bu, Active Directory etki alanı adlandırma hakkında Kurallı Sor şeklindedir.

Sanal bir ortamda Windows etki alanları ve etki alanı denetleyicilerini denedikten sonra, bir DNS etki alanına aynı adda bir Active Directory etki alanına sahip olmanın kötü bir fikir olduğunu fark ettim (Anlamı example.com, Active Directory adı olarak example.com alan adı web sitemiz olarak kullanılmak üzere kaydedilmiştir).

Bu ilgili soru bu sonucu destekliyor gibi görünüyor , ancak yine de Active Directory etki alanlarını adlandırma konusunda başka hangi kurallar olduğundan emin değilim.

Bir Active Directory adının ne olması veya olmaması gerektiği konusunda en iyi uygulamalar var mı?

91
Anton Gogolev

Bu, Sunucu Hatası ile ilgili eğlenceli bir tartışma konusu oldu. Konuyla ilgili çeşitli "dini görüşler" var gibi görünüyor.

Microsoft'un önerisine katılıyorum : Şirketin kayıtlı İnternet alan adının bir alt alan adını kullanın.

Bu nedenle, foo.com Sahibiyseniz, ad.foo.com Veya benzerlerini kullanın.

Gördüğüm gibi en aşağılık şey, Active Directory etki alanı adı için kayıtlı Internet etki alanı adını (aynen) kullanmaktır. Bu, "harici" adların çözümlenmesine izin vermek için kayıtları Internet DNS'den (www gibi) Active Directory DNS bölgesine el ile kopyalamanıza neden olur. Ben IIS her DC bir web sitesi çalışan bir kuruluşta foo.com tarayıcılarına bu IIS kurulumlar tarafından www.foo.com yönlendirilir.

Internet etki alanı adını kullanmanın bir avantajı yoktur, ancak harici Ana Bilgisayar adlarının başvurduğu IP adreslerini her değiştirdiğinizde "iş yap" oluşturur. (Harici ana bilgisayarlar için coğrafi olarak yük dengeli DNS kullanmayı ve böyle bir "bölünmüş DNS" durumu ile entegre etmeyi deneyin! Vay canına ... bu eğlenceli olurdu ...)

Böyle bir alt alanın kullanılmasının Exchange e-posta teslimi veya Kullanıcı Asıl Adı (UPN) sonekleri, BTW gibi şeyler üzerinde hiçbir etkisi yoktur. (Sıklıkla her ikisinin de İnternet alan adını AD alan adı olarak kullanmak için mazeret olarak gösterildiğini görüyorum.)

Ben de "birçok büyük şirket bunu" bahane görüyorum. Büyük şirketler, küçük şirketlerden daha kolay (moreso olmasa da) boneheaded kararlar alabilirler. Bunu, büyük bir şirketin bir şekilde iyi bir karar olmasına neden olan kötü bir karar verdiği için satın almıyorum.

98
Evan Anderson

Bu sorunun sadece iki doğru cevabı var.

  1. Herkese açık olarak kullandığınız bir alanın kullanılmayan bir alt alan adı. Örneğin, genel web varlığınız example.com ise dahili AD'niz ad.example.com veya internal.example.com şeklinde adlandırılabilir.

  2. Kullanılmayan ikinci düzey bir alan sahip olduğunuz ve başka hiçbir yerde kullanmayın. Örneğin, herkese açık web varlığınız example.com ise, AD'niz example.netolarak kayıt olduysanız example.net olabilir ve başka bir yerde!

Bunlar sadece iki seçeneğiniz. Başka bir şey yaparsanız, kendinizi çok fazla acı ve acıya açık bırakırsınız.


Ama herkes .local kullanıyor!
Önemli değil. Yapmamalısın. .local ve .lan ve .corp gibi diğer TLD'lerin kullanımı hakkında blog yazdım . Hiçbir koşulda bunu yapmamalısınız.

Daha güvenli değil. Bazı insanların iddia ettiği gibi "en iyi uygulamalar" değildir. Ve önerdiğim iki seçenek üzerinde herhangi bir yarar yok.

Ancak genel web sitemin URL'siyle aynı şekilde adlandırmak istiyorum, böylece kullanıcılarım example\user yerine ad\user olsun
Bu geçerli fakat yanlış yönlendirilmiş bir endişe. Bir alan adındaki ilk DC alan adını tanıtırsanız alan adının NetBIOS adını olmasını istediğiniz herhangi bir şekilde ayarlayabilirsiniz. Tavsiyemi uygular ve alan adınızı ad.example.com, alan adınızın NetBIOS adını example olacak şekilde yapılandırabilirsiniz, böylece kullanıcılarınız example\user olarak oturum açar.

Active Directory Ormanları ve Güvenleri'nde ek UPN sonekleri de oluşturabilirsiniz. Alan adınızdaki tüm hesaplar için @ example.com oluşturup birincil UPN soneki olarak ayarlamanızı engelleyen hiçbir şey yok. Bunu önceki NetBIOS önerisiyle birleştirdiğinizde, hiçbir son kullanıcı alan adınızın FQDN'sinin ad.example.com olduğunu görmez. Gördükleri her şey example\ veya @example.com olacaktır. FQDN ile çalışması gereken tek kişi Active Directory ile çalışan sistem yöneticileridir.

Ayrıca, bölünmüş ufukta bir DNS ad alanı kullandığınızı, yani AD adınızın herkese açık web sitenizle aynı olduğunu varsayalım. Artık, tarayıcılarında example.com öneki olmadıkça veya tüm alan adınızda IIS) çalıştırmadıkça kullanıcılarınız www. içine dahili olarak erişemez Aynı zamanda ayrık bir ad alanını paylaşan iki özdeş olmayan DNS bölgelerini de seçmeniz gerekir. Gerçekten değerden daha fazla güçlük. Şimdi başka bir şirketle bir ortaklığınız olduğunu ve ayrıca AD'leri ve dış varlıklarıyla bölünmüş bir DNS yapılandırmasına sahip olduklarını hayal edin. İkisi arasında özel bir fiber bağınız var ve bir güven oluşturmanız gerekiyor. Şimdi, herkese açık sitelere giden trafiğinizin tamamı, İnternet üzerinden çıkmak yerine özel bağlantıdan geçmelidir. Ayrıca her iki taraftaki ağ yöneticileri için her türlü baş ağrısını oluşturur. Bundan kaçının. Güven Bana.

Ama ama ama ...
Cidden, önerdiğim iki şeyden birini kullanmamak için hiçbir neden yok. Başka herhangi bir yolun tuzakları var. Etki alanı adınızı çalışıyorsa ve yerinde ise acele etmenizi söylemiyorum, ancak yeni bir reklam oluşturuyorsanız, yukarıda önerdiğim iki şeyden birini yapın.

89
MDMarra

MDMarra'nın cevabına yardımcı olmak için:

Etki alanı adınız için de ASLA tek etiketli bir DNS adı kullanmamalısınız. Bu, Windows 2008 R2'den önce/mevcuttu. Nedenleri/açıklamaları burada bulabilirsiniz: Tek etiketli DNS adları kullanılarak yapılandırılan Active Directory etki alanlarının dağıtımı ve çalışması | Microsoft Destek

Ayrılmış kelimeleri KULLANMAYI unutmayın (bu tablonun altındaki "Adlandırma Kuralları" bağlantısına bir tablo dahil edilmiştir), örneğin SYSTEM veya WORLD veya RESTRICTED.

Ayrıca Microsoft ile aynı fikirdeyim, çünkü iki ek kurala uymanız gerekiyor (bunlar taş değil, yine de):

  1. Alan adınızı, değişecek veya modası geçmiş bir şeye göre adlandırmamalısınız. Örnekler, alan adınızı bir ürün serisinden, işletim sisteminden veya zaman içinde değişmesi muhtemel herhangi bir şeyden sonra adlandırmayı içerir. Yolda 5 hatta 10 yıl mantıklı olacak kadar coğrafi veya somut bir şeyle devam edin.
  2. 15 veya daha kısa karakterli kısa adlara sahip olduğunuzda, bu, NETBIOS adının etki alanı adıyla kolayca aynı olmasını sağlar.

Son olarak, olabildiğince uzun vadeli düşünmenizi tavsiye ederim. Şirketler birleşme ve devralmalardan, hatta küçük şirketlerden bile geçer. Ayrıca dışarıdan yardım/danışma almak açısından da düşünün. Çok fazla çaba harcamadan SF'deki danışmanlara veya buradaki kişilere açıklanabilecek alan adlarını, AD yapısını vb. Kullanın.

Bilgi bağlantıları:

http://technet.Microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.Microsoft.com/kb/909264

http://support.Microsoft.com/kb/300684/en-us

Microsoft'un kök orman etki alanı adı için geçerli (W2k12) öneri sayfası

34
TheCleaner

Kullanmama katılmıyorum:

  • example.com - diğer yanıtlarda zaten belirtilen nedenlerden dolayı

Kullanarak kabul edebilir:

  • ad.example.com - - diğer yanıtlarda zaten belirtilen nedenlerden dolayı

Ama kendim yapmam ya da tavsiye etmem. Şirket devralma sırasında, özellikle o noktada yönetim bir şeylerin hemen değişmesini istediğinde, tüm cehennem markalarının yeniden markalanması gevşek. Göçleri yeniden adlandırdığınızda değişiklikler çok zor veya pahalıdır.

Önerebileceğim en iyi yol, şirket adıyla alakasız ve aynı zamanda şirketin markasıyla alakasız alan adı satın almaktır. SIMPLE.CLOUD veya benzeri gayet iyi olmalıdır sahip olabildiğiniz sürece.

AD kullanan 150 bin kullanıcısı olan büyük şirketleri, yıllar önce satın aldıkları eski şirkete atıfta bulunduğunu veya adlarını değiştiren ve uzun vadede\login kullandığınız önemli olmasa da (yapamıyorsanız) UPN kullanın) bunu değiştirmenin neden önemsiz olduğunu anlamayan yönetimin önünde hala kötü görünüyor.

2
MadBoy