Frage Auswählen des lokalen Namens und des öffentlichen Domänennamens für Active Directory [Duplizieren]


Diese Frage hat hier bereits eine Antwort:

Welche Vor- und Nachteile hat die Auswahl eines lokalen Domänennamens wie "mycompany.local" im Gegensatz zu einem öffentlich registrierten Domänennamen wie "mycompany.com" (vorausgesetzt, dass Ihre Organisation den öffentlichen Namen registriert hat)? Wann würdest du eins über das andere wählen?

AKTUALISIEREN

Danke an Zoredache und Jay, dass sie mich darauf hingewiesen haben diese Frage, die die nützlichsten Antworten hatte. Das hat mich auch dazu gebracht, das zu finden Microsoft Technet-Artikel, welche Staaten:

Es empfiehlt sich, DNS-Namen zu verwenden, die in einem Internet registriert sind   Autorität im Active Directory   Namensraum. Nur registrierte Namen sind   garantiert weltweit einzigartig. Ob   eine andere Organisation registriert sich später   der gleiche DNS-Domänenname, oder wenn Sie   Organisation verschmilzt mit, erwirbt, oder   wird von einer anderen Firma, die es nutzt, erworben   die gleichen DNS-Namen, dann die beiden   Infrastrukturen können nicht interagieren   einander.

Hinweis

Verwenden Sie einzelne Label-Namen oder nicht registrierte Suffixe wie .local,   ist nicht zu empfehlen.

In Kombination mit mrdennys Rat denke ich, dass der richtige Ansatz darin besteht, entweder

  1. Registrierter Domain Name, der nie öffentlich verwendet werden (z. mycompany.org, mycompany.info usw.).
  2. Subdomain eines vorhandenen öffentlichen Domain-Namens, der niemals öffentlich verwendet werden (z.B. corp.meinefirma.com).

Der "nie genutzte öffentliche Teil" ist eine geschäftliche Entscheidung, daher ist es wahrscheinlich am besten, sich von denjenigen in der Firma abzumelden, die berechtigt sind, Domainnamen und Subdomains zu reservieren. Z.B. Sie möchten keinen registrierten Namen oder eine Subdomain verwenden, die die Marketingabteilung später für eine öffentliche Marketingkampagne verwenden möchte.


24
2017-10-03 19:17


Ursprung


DSO: Wenn ihre Antworten helfen, sollten Sie das beste als "akzeptiert" markieren, damit die Besucher später wissen, was die richtige Antwort ist. - Bill Weiss


Antworten:


Im Folgenden finden Sie einen Auszug aus meiner Antwort auf eine ähnliche Frage gefunden unter: Top Level Domain / Domain Suffix für privates Netzwerk?.

Microsoft hat entweder empfohlen

  1. ein dedizierter, registrierter Domänenname, der im Internet nicht verfügbar ist

  2. Eine Subdomäne des Namens Ihrer öffentlichen Domäne zur Verwendung als Stammdomänenname der Active Directory-Gesamtstruktur

seit sie Active Directory in Windows 2000 Server veröffentlicht haben. Der Hauptvorteil der Verwendung einer Subdomain Ihres öffentlichen Domänennamens ist für mich die Konsistenz des Namespace, was zu einer Sache führt, die Sie, andere Administratoren und Benutzer nicht vergessen sollten.


Verwenden Sie eine Unterdomäne der registrierten Domäne Ihres Unternehmens für interne Computer, deren Namen Sie nicht im Internet verfügbar haben möchten. (Dann sollten Sie diese Namen natürlich nur auf Ihren internen DNS-Servern hosten.) Hier sind einige Beispiele für die fiktive Example Corporation.

Internetorientierte Server:
www.beispiel.de
mail.beispiel.com
dns1.beispiel.com

Interne Maschinen:
dc1.corp.beispiel.com
dns1.corp.beispiel.com
client1.corp.beispiel.com

Ich habe "corp" verwendet, um zu signalisieren, dass diese Subdomain Maschinen im internen Unternehmensnetzwerk beschreibt, aber Sie könnten hier alles verwenden, was Sie wollen, wie "intern": client1.internal.example.com.


13
2017-10-04 03:26



Es wäre wirklich nett, wenn Sie einen Link zu einem Dokument bereitstellen könnten, in dem Microsoft diese Empfehlung abgibt. - Zoredache
@Zoredache Ich habe meine Frage mit einem Link zum MS Technet-Artikel aktualisiert, der die Empfehlung zur Verwendung von registrierten Domänennamen enthält. - DSO


Wenn Sie dieselbe Domain verwenden, wird es schwierig.

Leider kann die Verwendung von .local auch Probleme verursachen. Insbesondere wird .local für verwendet Bonjour/ Zeroconf. Wenn Sie eine .local-Tld verwenden, müssen Sie die Einstellungen auf jedem OSX-Computer oder Linux-Host anpassen, auf dem Avahi ausgeführt wird.

In der etwas verwandten Frage 'Top-Level-Domain für private Netzwerke". Es gibt viele Tipps, was Sie tun sollten nicht verwenden, aber es gibt keinen wirklichen Konsens darüber, welche TLD für private Netzwerke verwendet werden sollte.

Es sei denn, ich täusche mich, und bitte korrigiere mich, wenn ich es bin, aber ich glaube nicht, dass irgendetwas von der IETF, IANA oder irgend einer der anderen Standardisierungsgremien die Verwendung von .local für irgendetwas erlaubt.


7
2017-10-04 02:34





Sie sollten keinen öffentlichen Domain-Namen für Ihren AD-Namen verwenden.

  1. Das erste Problem, das Sie finden, ist der Zugriff auf Ihre eigene öffentliche Website. Der Name Ihrer öffentlichen Website stimmt mit dem Namen Ihrer internen Website überein. Also wann du machst ein nslookup zum mycompany.com Du bekommst dein inneres zurück AD-Server-IP-Adressen und nicht die öffentliche IP-Adresse für die Unternehmen Websites. Wenn Sie einen FTP-Namen für Ihre öffentliche Site einrichten, werden Sie dies nicht tun fähig, diesen Namen auch zu finden.

    Die Arbeit für einige davon ist, die öffentlichen Namen und IPs zu setzen in Ihren internen DNS, so dass Sie sie von innerhalb der Firewall, aber das bedeutet, dass Sie jetzt zwei DNS-Farmen verwalten müssen Es ändert sich immer etwas auf der öffentlichen Seite.

  2. Ein weiterer Grund, sie getrennt zu halten, besteht darin, dass ein Angreifer Ihren internen Domänennamen nicht kennt. Den Domain-Namen nicht zu kennen, ist nur ein weiterer Teil des Puzzles, den ein Angreifer herausfinden müsste.


3
2017-10-03 21:55



+1 - Ich habe tatsächlich dumme Dinge wie IIS gesehen, die auf jedem Domänencontroller in einer Organisation installiert wurden, auf der eine einzelne Website ausgeführt wird, um HTTP-Anfragen an "domain-name.com" zu "www.domainname.com" umzuleiten. Unglaublich aber wahr. Persönlich gehe ich für "ad.domain-name.com" für den Active Directory-Domänennamen, aber es kann wirklich alles sein (außer dem öffentlichen Namen!). Das UPN-Suffix Ihrer Benutzer kann immer noch "@ domain-name.com" lauten, so dass ihre Kontonamen mit ihren E-Mail-Adressen übereinstimmen können, da UPN-Suffixe keinerlei Verbindung zu DNS haben. - Evan Anderson
Hi-Während es bequem oder wahrnehmbar weniger Arbeit sein kann, separate Namespaces zu verwenden, ist die Verwendung der gleichen intern und extern EXTREM häufig und es ist wirklich nichts falsch daran. Das Argument über einen "Angreifer" ist strittig, wenn der sogenannte "Angreifer" etwas weiß. Dieses kleine Stück Information ist ziemlich leicht zu bekommen, wenn Sie es wollen. - Brian Desmond
Ich stimme zu, dass das ganze Angreifer-Bit albern ist. Der Versuch, die zukünftige DNS-Pflegearbeit zu minimieren, ist dies jedoch nicht. "Extrem häufig" bedeutet nicht "gut für zukünftige Managementeffizienz" oder "eine gute Wahl". In der IT-Branche gibt es eine Fülle von Entscheidungen, die von Kopf bis Fuß getroffen werden. Große Organisationen scheinen ebenso schlechte Entscheidungen zu treffen (wenn nicht sogar besser) als kleinere. - Evan Anderson


Wenn Sie Ihren externen Namespace nicht verwenden möchten, funktioniert jeder Ihrer Gedanken (so etwas wie corp.mycompany.com oder mycompany.net) gut und ist üblich. Ich bevorzuge die .net-Option über die Subdomain persönlich, aber ich habe beides viele Male getan.


1
2017-10-04 16:55



Ich würde "mycompany.net" nicht verwenden, außer du besitzt auch "mycompany.net". Andernfalls können Ihre internen DNS-Server keine Namen in der Domäne "mycompany.net" "real" auflösen. - Evan Anderson


Der oben erwähnte TechNet-Artikel ist älter als dieser;

Hier schlägt Microsoft durchweg vor, einen privaten Namespace für den Active Directory-Domänennamen zu verwenden. Außerdem finden Sie Aufzählungszeichen zu Nachteilen und Problemen bei der Verwendung eines öffentlich registrierten Domain-Namens.


1
2017-11-21 10:43





Im Jahr 2000 gab es einen IETF Internet-Draft mit dem Titel DNS Top Level Domain für private Netzwerke das empfahl die Verwendung .pri:

Ein reservierter Top-Level-Domainname, ".pri", würde eine private Domain erlauben   Name, der sicher und ohne Risiko von Konflikten mit Strom oder   zukünftige registrierte Domain-Namen.

Ein privater DNS-Server ist als autorisierend für das ".pri" konfiguriert.   Domäne und delegiert die privaten Subdomänen entsprechend.

Ich bin mir nicht sicher, was daraus wurde, aber es war eine gute Idee.
(Update: IETF Tracker sagt: Entwurf ging nie weiter.)


1
2018-01-18 22:45