एक नए सक्रिय निर्देशिका फ़ॉरेस्ट का नामकरण - स्प्लिट-क्षितिज DNS अनुशंसित क्यों नहीं है?

उम्मीद है , हम सभी जानते हैं कि सक्रिय निर्देशिका फ़ॉरेस्ट का नामकरण करने के लिए क्या सिफारिशें हैं , और वे बहुत सरल हैं। अर्थात्, यह एक वाक्य में अभिव्यक्त किया जा सकता है।

एक मौजूदा, पंजीकृत डोमेन नाम के उपडोमेन का उपयोग करें, और एक को चुनें जो बाहरी रूप से उपयोग नहीं होने वाला है। उदाहरण के लिए, अगर मैं की स्थापना करने और रजिस्टर करने के लिए थे hopelessn00b.comडोमेन, अपने आंतरिक ई वन नाम दिया जाना चाहिए internal.hopelessn00b.comया ad.hopelessn00b.comया corp.hopelessn00b.com।

"नकली" टारस या सिंगल-लेबल डोमेन नामों का उपयोग करने से बचने के लिए जबरदस्त कारण हैं , लेकिन मुझे hopelessn00b.comअपने डोमेन नाम के रूप में रूट डोमेन ( ) के रूप में उपयोग करने से बचने के लिए समान कठिन कारण खोजने में कठिनाई हो रही है और corp.hopelessn00b.comइसके बजाय एक उपडोमेन का उपयोग करें । वास्तव में, एकमात्र औचित्य मुझे यह लग सकता है कि बाहरी वेबसाइट को आंतरिक से एक्सेस करने के लिए एक A nameDNS रिकॉर्ड की आवश्यकता होती है और www.एक ब्राउज़र में वेबसाइट के नाम के सामने टाइप करना पड़ता है, जो कि बहुत "meh" है जहाँ तक समस्याएँ हैं।

तो मुझे क्या याद आ रही है? ad.hopelessn00b.comमेरा सक्रिय निर्देशिका फ़ॉरेस्ट नाम के रूप में उपयोग करना इतना बेहतर क्यों है hopelessn00b.com?

सिर्फ रिकॉर्ड के लिए, यह वास्तव में मेरे नियोक्ता को आश्वस्त करने की आवश्यकता है - बॉस मैन बैक-पेडलिंग है, और मेरे corp.hopelessn00b'semployer.comआंतरिक नेटवर्क के लिए नामित एक नया एडी वन बनाने के लिए मुझे आगे जाने के बाद , वह एडी नाम के वन के साथ रहना चाहता है hopelessn00b'semployer.com( हमारे बाहरी पंजीकृत डोमेन के समान)। मैं उम्मीद कर रहा हूं कि मुझे कुछ सम्मोहक कारण या कारण मिल सकते हैं कि सबसे अच्छा अभ्यास बेहतर विकल्प है, इसलिए मैं उसे समझा सकता हूं ... क्योंकि यह क्रोध छोड़ने और / या नई नौकरी ढूंढने से कम से कम आसान लगता है। क्षण। अभी, "Microsoft सर्वोत्तम प्रथाओं" और आंतरिक रूप से हमारी कंपनी के लिए सार्वजनिक वेबसाइट तक पहुँचने के लिए इसे काटने के लिए नहीं लगता है, और मैं वास्तव में , वास्तव में , वास्तव में उम्मीद कर रहा हूं कि यहां किसी को कुछ और आश्वस्त करना है।

इतना प्रतिनिधि होना चाहिए था। मेरे लिए कीमती आओ।

ठीक है, इसलिए यह माइक्रोसॉफ्ट द्वारा बहुत अच्छी तरह से प्रलेखित है कि आप विभाजन-क्षितिज, या एक टीएलडी का उपयोग नहीं करना चाहिए जैसा कि आप कई बार लिंक कर चुके हैं (मेरे ब्लॉग पर चिल्लाएं!)। इसके लिए कुछ कारण हैं।

1. wwwसमस्या यह है कि आप ऊपर बताया गया है। कष्टप्रद, लेकिन एक सौदा ब्रेकर नहीं।

2. यह आपको सभी सार्वजनिक-सामना करने वाले सर्वरों के लिए डुप्लिकेट रिकॉर्ड बनाए रखने के लिए मजबूर करता है जो कि आंतरिक रूप से भी सुलभ हैं, न कि केवल www। mail.hopelessnoob.comएक सामान्य उदाहरण है। एक आदर्श परिदृश्य में, आपके पास mail.hopelessnoob.comया जैसी चीजों के लिए एक अलग परिधि नेटवर्क होगा publicwebservice.hopelessnoob.com। कुछ कॉन्फ़िगरेशन के साथ, आंतरिक और बाहरी इंटरफेस के साथ एक एएसए की तरह , आपको वैसे भी अंदर-अंदर NAT या विभाजन-क्षितिज DNS की आवश्यकता होती है, लेकिन एक वैध परिधि नेटवर्क के साथ बड़े संगठनों के लिए जहां आपके वेब-फेसिंग संसाधन एक हेयरपिन NAT सीमा के पीछे नहीं हैं - यह अनावश्यक काम का कारण बनता है।

3. इस परिदृश्य की कल्पना करें - आप hopelessnoob.comआंतरिक और बाह्य हैं। आपके पास एक निगम है जिसे आप कॉल के साथ साझेदारी कर रहे हैं example.comऔर वे एक ही काम करते हैं - अपने एडी के साथ और उनके सार्वजनिक रूप से सुलभ डीएनएस नेमस्पेस के साथ आंतरिक रूप से विभाजित करें। अब, आप एक साइट-टू-साइट वीपीएन को कॉन्फ़िगर करते हैं और ट्रस्ट के लिए आंतरिक प्रमाणीकरण चाहते हैं ताकि इंटरनेट पर बाहर जाने के लिए उनके बाहरी सार्वजनिक संसाधनों तक पहुंच होने के दौरान सुरंग को पार किया जा सके। यह अविश्वसनीय रूप से जटिल पॉलिसी रूटिंग के बिना या उनके आंतरिक DNS ज़ोन की अपनी प्रति धारण करने के बिना असंभव के बगल में है - अब आपने केवल बनाए रखने के लिए डीएनएस रिकॉर्ड का एक अतिरिक्त सेट बनाया है। तो आपको अपने अंत में हेयरपिनिंग से निपटना होगा औरउनका अंत, पॉलिसी रूटिंग / NAT, और अन्य सभी प्रकार की प्रवंचना। (मैं वास्तव में एक एडी के साथ इस स्थिति में था जो मुझे विरासत में मिला था)।

4. यदि आप कभी भी DirectAccess को तैनात करते हैं , तो यह आपकी नाम रिज़ॉल्यूशन नीतियों को बहुत सरल करता है - यह संभवतया अन्य स्प्लिट-टनल VPN तकनीकों के लिए भी सही है।

इनमें से कुछ किनारे मामले हैं, कुछ नहीं हैं, लेकिन वे सभी आसानी से बचा जा रहे हैं । यदि आपके पास शुरुआत से ऐसा करने की क्षमता है, तो आप इसे सही तरीके से कर सकते हैं ताकि आप एक दशक में इनमें से किसी एक में न दौड़ें।

यह कथन: "वास्तव में, एकमात्र औचित्य जो मुझे पता लग सकता है कि बाहरी वेबसाइट को आंतरिक से एक्सेस करने के लिए SRV DNS रिकॉर्ड की आवश्यकता होती है और ब्राउज़र में वेबसाइट के नाम के सामने www टाइप करना" सही नहीं है।

इसका मतलब है कि आपको अपने एडी DNS सर्वरों में अपने सभी सार्वजनिक रिकॉर्ड की एक प्रति रखने की आवश्यकता है, जो समस्याओं का कारण बन सकती है, खासकर यदि आप इसे ठीक से नहीं करते हैं - कुछ को याद करते हैं, आदि। अगर कोई ftp.company को प्राप्त करना चाहता है। com लेकिन आप आंतरिक DNS में उपनाम बनाना चाहते हैं (या इसे ठीक से स्वचालित नहीं किया था), इन-हाउस लोग सार्वजनिक एफ़टीपी साइट को बिल्कुल भी नहीं मार सकते हैं।

यह आपके द्वारा जुड़े प्रश्न में बहुत अच्छी तरह से fleshed है: Windows सक्रिय निर्देशिका सर्वोत्तम प्रथाओं नामकरण?

यदि आपके DNS ज़ोन की कई प्रतियों को बनाए रखना आपके लिए हमेशा के लिए सही ढंग से हल करने के लिए एक आसान समस्या है, तो मुझे लगता है कि आप जो चाहते हैं वह कर सकते हैं। जब तक एमएस ऐसा कुछ नहीं बदलता है जो इसे तोड़ देता है। आप बस उनकी सिफारिशों का पालन कर सकते हैं ।

मैं आज एक लंबा जवाब बनाने के लिए प्रतिनिधि के बारे में पर्याप्त परवाह नहीं करता ... इसलिए मैं इसे छोटा रखूँगा।

मैं स्प्लिट-डीएनएस के साथ ठीक रहा करता था और इसे कई बार लागू किया जब तक कि इवान और मार्क ने मुझे अन्यथा आश्वस्त नहीं किया। यह ईमानदारी से नहीं है कि यह नहीं किया जा सकता है ... यह हो सकता है, और कुछ इसके साथ ठीक हो सकता है (ओवरहेड और इसके लिए काम करने के बावजूद)।

2 साल पहले मेरे लिए कुछ खास बातें सामने आईं, जो इसका उपयोग नहीं करती थीं:

1. जैसा कि आपने अपने प्रश्न में बताया है, आप केवल आंतरिक उपयोगकर्ताओं को केवल डोमेन नाम के माध्यम से अपनी बाहरी वेबसाइट पर जाने की अनुमति नहीं दे सकते। यह न पूछें कि यह इतनी बड़ी बात क्यों थी, लेकिन हमारे पास आंतरिक उपयोगकर्ता थे जो इस बात पर अड़े हुए थे कि बिना ब्राउज़र के सिर्फ डोमेन नाम टाइप wwwकरने से वास्तविक वेबसाइट सामने नहीं आएगी, क्योंकि डोमेन रिकॉर्ड AD डोमेन से मेल खाता है और wwwआंतरिक रूप से प्राप्त नहीं कर सकता और सभी के लिए एक पकड़ नहीं है।
2. एक्सचेंज के मुद्दे - एक्सचेंज ऑटोडिस्कवर सीट्स प्राप्त करने में विफल हो सकता है और एक त्रुटि का संकेत देगा। यह आंतरिक और बाहरी दोनों तरह से हो सकता है। यह तब और भी स्पष्ट हो गया जब हमने अपने एक्सचेंज ऑर्ग पर "एक्सटर्नल फॉरेस्ट मेलबॉक्सेज" शुरू किया और वे वही आंतरिक डीएनएस नहीं देख पाए जो हमारे पास था।

उम्मीद है की वो मदद करदे।