Chỉ có hai câu trả lời đúng cho câu hỏi này.
Một tên miền phụ không được sử dụng của một tên miền mà bạn sử dụng công khai. Ví dụ: nếu sự hiện diện web công khai của bạn là example.com
AD nội bộ của bạn có thể được đặt tên giống như ad.example.com
hoặc internal.example.com
.
Tên miền cấp hai không được sử dụng mà bạn sở hữu và không sử dụng ở bất kỳ nơi nào khác. Ví dụ: nếu sự hiện diện web công khai của bạn là example.com
AD của bạn có thể được đặt tên example.net
miễn là bạn đã đăng ký example.net
và không sử dụng nó ở bất kỳ nơi nào khác!
Đây là hai lựa chọn duy nhất của bạn. Nếu bạn làm điều gì khác, bạn sẽ để lại cho mình nhiều đau khổ và đau khổ.
Nhưng mọi người đều sử dụng .local!
Không quan trọng. Bạn không nên. Tôi đã viết blog về việc sử dụng .local và các TLD được tạo thành khác như .lan và .corp . Trong mọi trường hợp bạn không bao giờ nên làm điều này.
Nó không an toàn hơn. Đó không phải là "thực hành tốt nhất" như một số người tuyên bố. Và nó không có bất kỳ lợi ích nào trong hai lựa chọn mà tôi đã đề xuất.
Nhưng tôi muốn đặt tên giống như URL của trang web công cộng của mình để người dùng của tôi example\user
thay vìad\user
Đây là mối quan tâm hợp lệ nhưng sai lầm. Khi bạn quảng cáo DC đầu tiên trong một tên miền, bạn có thể đặt tên NetBIOS của tên miền thành bất cứ thứ gì bạn muốn. Nếu bạn làm theo lời khuyên của tôi và thiết lập tên miền của bạn thành ad.example.com
, bạn có thể định cấu hình tên NetBIOS của tên miền để example
người dùng của bạn sẽ đăng nhập example\user
.
Trong Active Directory Forests and Trust, bạn cũng có thể tạo thêm hậu tố UPN. Không có gì ngăn bạn tạo và đặt @ example.com làm hậu tố UPN chính cho tất cả các tài khoản trong miền của bạn. Khi bạn kết hợp điều này với khuyến nghị NetBIOS trước đó, sẽ không có người dùng cuối nào thấy FQDN của tên miền của bạn ad.example.com
. Tất cả mọi thứ mà họ nhìn thấy sẽ là example\
hoặc @example.com
. Những người duy nhất sẽ cần làm việc với FQDN là các quản trị viên hệ thống làm việc với Active Directory.
Ngoài ra, giả sử rằng bạn sử dụng không gian tên DNS tách đôi, có nghĩa là tên AD của bạn giống với trang web công khai của bạn. Bây giờ, người dùng của bạn không thể truy cập example.com
nội bộ trừ khi bạn có tiền tố www.
của họ trong trình duyệt của họ hoặc bạn chạy IIS trên tất cả các bộ điều khiển miền của bạn (điều này rất tệ). Bạn cũng phải quản lý haicác vùng DNS không giống nhau có chung một không gian tên rời rạc. Nó thực sự rắc rối hơn giá trị của nó. Bây giờ hãy tưởng tượng rằng bạn có quan hệ đối tác với một công ty khác và họ cũng có cấu hình DNS chia đôi với AD và sự hiện diện bên ngoài của họ. Bạn có một liên kết sợi riêng giữa hai người và bạn cần tạo niềm tin. Giờ đây, tất cả lưu lượng truy cập của bạn đến bất kỳ trang web công cộng nào của họ đều phải truy cập liên kết riêng thay vì chỉ truy cập Internet. Nó cũng tạo ra tất cả các loại đau đầu cho các quản trị viên mạng ở cả hai bên. Tránh điều này. Tin tôi đi
Nhưng nhưng ...
Nghiêm túc mà nói, không có lý do gì để không sử dụng một trong hai điều mà tôi đã đề xuất. Bất kỳ cách nào khác đều có cạm bẫy. Tôi không bảo bạn vội vàng thay đổi tên miền nếu nó hoạt động và tại chỗ, nhưng nếu bạn đang tạo một AD mới, hãy thực hiện một trong hai điều mà tôi đã đề xuất ở trên.
corp
không được mô tả nhưfoo
.