web-dev-qa-db-ja.com

ActiveDirectoryに内部または外部ドメイン名を使用することの長所と短所

私はいつも内部ドメイン名を使うと考えられていました(company.localまたはcompany.corp) にとって Active Directory の代わりに (company.comまたはcompany.pl)。最近、外部ドメイン名を使用することで、ExchangeやSharepointなどの証明書のように、内部名と外部名がまったく同じで特別な証明書を購入する必要がないという利点が得られると考えていました。

両方の長所と短所は何ですか?そうするときに潜在的な問題は何であり、大きな利点は何でしょうか?

active-directorydomain-nameinternal-dnsnetwork-design
3
MadBoy

私は過去10年間に、10ユーザーのSBSサーバーの構築から、50以上のDCを備えた6,000ユーザーのフォレストの管理の引き継ぎ、すべての再設計まで、数十のActiveDirectoryフォレストを構築してサポートしてきました。適切に計画している場合、ADフォレスト名に.comインターネットドメイン名を使用しない理由はないと言えます。マイクロソフトは、Bonjourが古いMac OS Xバージョンと非互換であるため、またあなたが引用している理由により、.localドメインの使用を推奨しなくなりました。メインドメインをサブドメインとする「メンバーレス」ルートドメインを作成するというWin2000の時代からのアイデアも、ツールと管理が改善されたため、ウィンドウの外にあります。

インターネットとADドメインが同じである「スプリットブレイン」DNSを実行する理由:

  1. 最良の理由:WebアプリのURLは、ユーザーの内部と外部で同じです(内部ドメイン名をIE GPOを介したイントラネットセキュリティゾーンに追加することをお勧めします)
  2. ログオンと電子メールアドレスを簡単に同じにするオプション(NT4のログオン方法はdomain\userですが、最近のウィンドウでは[email protected]も必要です)
  3. OCS/Lync SIP電子メールおよびログインと同じアドレス
  4. プライベートCAではなく、内部サーバーにパブリック証明書を使用できます

ネガ:

  1. スプリットトンネルVPNの複雑さは、ネットワーク外のクライアントコンピューターがwebsite.domain.comのパブリックIPまたは内部IPのいずれかを使用することを決定する必要がある場合に発生します。多くの場合、企業は(安価で帯域幅を節約するために)スプリットトンネル用にクライアントのWindows VPN設定をセットアップします。これにより、内部名/ IP宛てのトラフィックのみをイントラネットに送信するようにWindowsに指示します。 DNSがネットワークの内外で同じ名前を解決できる場合、どちらを使用することを選択する必要がありますか? Windowsでは、クライアントに使用するDNSレコード(プライベートまたはパブリック)の結果が混在します。私の推奨事項:クライアントVPNでスプリットトンネリングを許可しないでください。
3
Bret Fisher

長い(そして非常に高価な)広告移行プロジェクトに携わってきた私は、あなたの商号に関して「一般的」な内部広告を持つのが好きになりました。買収または他の事業と合併する可能性のある事業に従事している場合、事業上の決定のために必ずしも広告ドメインを変更する必要がない場合があります。

たとえば、靴のビジネスをしている場合は、corpshoe.netのようなドメイン名を購入して、ActiveDirectoryでのみ使用できます。あなたの会社のウェブサイトと電子メールはあなたの通常のドメイン名と同じままでありえます、そしてあなたの会社が変わるならば、あなたの広告はそうする必要はありません。

私はまたあなたが外の世界であなたの広告名を所有するべきであると信じています。すべてが簡単になります。

1
johnh

DNS管理は、遭遇する主な頭痛の種です。

  • ドメイン解決:

ドメイン内のシステムは、ドメインのFQDNを要求すると、ドメインコントローラーを解決できることを期待しています。これは、たとえば、ユーザーがブラウザにcompany.comを入力してWebサイトにアクセスしたい場合に問題になります。そのDNSエントリは、代わりにドメインコントローラを指している必要があります(ユーザーはWebサイトにwww.company.comを入力する必要があります)。

  • ダブルゾーン管理:

同様に、ActiveDirectoryサーバーはcompany.comゾーンに対して権限を持つように設定されます。したがって、ゾーンの2つのコピーを効果的に管理することになります。 Active Directoryにあるものと、インターネットユーザーに表示されるものです。内部ユーザーがアクセスする必要があるすべてのエントリは、両方の場所で作成および更新する必要があります。

証明書について引用した利点は、DNSのトリックを使用することで得られますが、必ずしも永久に重複することを確約する必要はありません。一方、ユーザビリティの観点からは、ユーザーの電子メールアドレスをユーザー原則名と一致させると便利です。

1
Shane Madden