विंडोज सक्रिय निर्देशिका सर्वोत्तम प्रथाओं नामकरण?

89

यह सक्रिय निर्देशिका डोमेन नामकरण के बारे में एक Canonical प्रश्न है

एक आभासी वातावरण में विंडोज डोमेन और डोमेन नियंत्रकों के साथ प्रयोग करने के बाद, मैंने महसूस किया है कि DNS डोमेन के लिए पहचान के example.comरूप में एक सक्रिय निर्देशिका डोमेन होना बुरा विचार है (जिसका अर्थ है कि सक्रिय निर्देशिका नाम के रूप में example.comडोमेन नाम होने पर कोई अच्छा नहीं है हमारी वेबसाइट के रूप में उपयोग के लिए पंजीकृत)।

यह संबंधित प्रश्न उस निष्कर्ष का समर्थन करता है , लेकिन मुझे अभी भी यकीन नहीं है कि सक्रिय निर्देशिका डोमेन के नामकरण के आसपास अन्य नियम क्या हैं।

क्या कोई सक्रिय निर्देशिका नाम होना चाहिए या नहीं होना चाहिए पर कोई सर्वोत्तम प्रथा है?

windows  active-directory  best-practices 
एंटोन गोगोलेव
स्रोत

जवाबों:

98

यह सर्वर फॉल्ट पर चर्चा का एक मजेदार विषय रहा है। विषय पर अलग-अलग "धार्मिक विचार" दिखाई देते हैं।

मैं Microsoft की अनुशंसा से सहमत हूं : कंपनी के पहले से पंजीकृत इंटरनेट डोमेन नाम के उप-डोमेन का उपयोग करें।

इसलिए, यदि आप स्वयं का foo.comउपयोग करते हैं ad.foo.comया कुछ ऐसे।

सक्रिय निर्देशिका डोमेन नाम के लिए सबसे उल्टी बात, जैसा कि मैं इसे देखता हूं, पंजीकृत इंटरनेट डोमेन नाम, शब्दशः का उपयोग कर रहा है। यह आपको www"बाहरी" नामों को हल करने की अनुमति देने के लिए इंटरनेट DNS (जैसे ) से मैन्युअल रूप से रिकॉर्ड्स को सक्रिय निर्देशिका DNS ज़ोन में कॉपी करने के लिए मजबूर करने का कारण बनता है । मैंने वेब पर चल रहे एक संगठन में प्रत्येक डीसी पर स्थापित आईआईएस जैसी पूरी तरह से मूर्खतापूर्ण चीजें देखी हैं जो एक रीडायरेक्ट करता है जैसे कि कोई व्यक्ति foo.comअपने ब्राउज़र में प्रवेश करता है www.foo.comजिसे इन आईआईएस प्रतिष्ठानों द्वारा पुनर्निर्देशित किया जाएगा । बिलकुल उमस!

इंटरनेट डोमेन नाम का उपयोग करने से आपको कोई लाभ नहीं होता है, लेकिन हर बार जब आप आईपी पते बदलते हैं तो बाहरी होस्ट नामों को संदर्भित करते हुए "काम करना" बनाता है। (बाहरी मेजबानों के लिए भौगोलिक रूप से लोड-संतुलित DNS का उपयोग करने का प्रयास करें और इस तरह के "विभाजित DNS" स्थिति के साथ एकीकृत करें, भी! Gee-- यह मजेदार होगा ...)

एक्सचेंज ईमेल डिलीवरी या यूजर प्रिंसिपल नेम (UPN) प्रत्यय, BTW जैसी चीजों पर उप-डोमेन का उपयोग करने का कोई प्रभाव नहीं पड़ता है। (मैं अक्सर उन दोनों को विज्ञापन डोमेन नाम के रूप में इंटरनेट डोमेन नाम का उपयोग करने के बहाने के रूप में देखता हूं।)

मैं बहाना भी देखता हूं "बहुत सारी बड़ी कंपनियां ऐसा करती हैं"। बड़ी कंपनियां छोटी कंपनियों की तुलना में हड्डीविहीन निर्णय आसानी से कर सकती हैं (यदि मोरसो नहीं)। मैं सिर्फ इसलिए नहीं खरीदता क्योंकि एक बड़ी कंपनी एक बुरा निर्णय लेती है जो किसी भी तरह से यह एक अच्छा निर्णय होता है।

इवान एंडरसन
स्रोत
2
लेकिन तब डोमेन का NetBIOS नाम नहीं है ... ठीक है, सुंदर :) के corpरूप में वर्णनात्मक नहीं है foo
एंटोन गोगोलेव
33
हालाँकि, आप जो भी चाहें, NetBIOS नाम निर्दिष्ट कर सकते हैं। मेरे कई ग्राहकों के नाम "ad.example.com" हैं, लेकिन NetBIOS नाम "EXAMPLE" है। DCPROMO डोमेन के निर्माण के दौरान आपके द्वारा NetBIOS नाम पसंद करने के लिए आपको संकेत देगा।
इवान एंडरसन
5
यदि आप वाइल्डकार्ड वाले डोमेन के साथ समस्याओं के लिए यह देखते हैं। जब आप * है .foo.com, host.internal.foo.com कुछ स्थितियों में से मेल खाएगी
JamesRyan
2
मुझे किसी भी ईमेल सर्वर उत्पाद की जानकारी नहीं है जिसके लिए आपको उपयोगकर्ताओं के ईमेल पते प्रत्यय के रूप में AD डोमेन नाम का उपयोग करना होगा। विनिमय को कभी भी AD डोमेन नाम और ईमेल पते प्रत्ययों के बीच किसी भी प्रकार के सहसंबंध की आवश्यकता नहीं होती है।
इवान एंडरसन
2
Office365 के लिए केवल यह आवश्यक है कि आपके उपयोगकर्ता अपने किरायेदार से मेल खाते हुए प्रत्यय के साथ अपने UPN के साथ लॉगऑन करें। चूंकि डिफ़ॉल्ट एक्सचेंज मेलबॉक्स एड्रेस पॉलिसी को आपके यूपीएन प्रत्यय के रूप में परिभाषित किया जा सकता है, इसलिए यह तुच्छ है। हमारी कंपनी के नाम (और Office365 में किरायेदार) के रूप में EXAMPLE.COM है, EXAMPLE.NET (पंजीकृत भी) वन के रूप में, CORP.EXAMPLE.NET प्राथमिक खाता डोमेन के रूप में (अन्य क्षेत्रीय उप-डोमेन के साथ, जैसे EU.EXAMPLE)। नेट) नेटबीआईओएस नाम से EXAMPLE के साथ, वन एक्सचेंज ऑर्गन में सभी उपयोगकर्ता UPN और ईमेल के लिए Name@EXAMPLE.COM का उपयोग करते हैं। Office365 इससे पूरी तरह से खुश है।
रयान फिशर
89

इस प्रश्न के केवल दो सही उत्तर हैं।

  1. किसी डोमेन का अप्रयुक्त उप-डोमेन जिसे आप सार्वजनिक रूप से उपयोग करते हैं। उदाहरण के लिए, यदि आपकी सार्वजनिक वेब उपस्थिति example.comआपके आंतरिक विज्ञापन का नाम कुछ इस तरह है ad.example.comया हो सकता है internal.example.com

  2. एक अप्रयुक्त द्वितीय-स्तरीय डोमेन जो आपके पास है और कहीं और उपयोग नहीं करते हैं। उदाहरण के लिए, यदि आपकी सार्वजनिक वेब उपस्थिति है तो example.comआपके विज्ञापन का नाम तब तक रखा जा सकता है example.net जब तक आपने पंजीकरण किया हो example.netऔर कहीं और इसका उपयोग न करें!

ये आपके केवल दो विकल्प हैं। यदि आप कुछ और करते हैं, तो आप अपने आप को बहुत दर्द और पीड़ा के लिए खुला छोड़ रहे हैं।

लेकिन हर कोई उपयोग करता है।
कोई बात नहीं। आपको नहीं करना चाहिए मैंने .local और अन्य बने हुए TLD जैसे .lan और .corp के उपयोग के बारे में ब्लॉग किया है । किसी भी परिस्थिति में आपको ऐसा कभी नहीं करना चाहिए।

यह अधिक सुरक्षित नहीं है। यह "सर्वोत्तम अभ्यास" नहीं है जैसे कुछ लोग दावा करते हैं। और यह दो विकल्पों पर कोई लाभ नहीं है जो मैंने प्रस्तावित किया है।

लेकिन मैं इसे अपनी सार्वजनिक वेबसाइट के URL के रूप में नाम देना चाहता हूं ताकि मेरे उपयोगकर्ता इसके example\userबजायad\user
मान्य हों, लेकिन यह एक गलत चिंता है। जब आप किसी डोमेन में पहले DC को प्रमोट करते हैं, तो आप डोमेन के NetBIOS नाम को सेट कर सकते हैं। यदि आप मेरी सलाह का पालन करते हैं और अपना डोमेन सेट अप करने के लिए करते हैं ad.example.com, तो आप डोमेन के नेटबीआईओएस नाम को कॉन्फ़िगर कर सकते हैं exampleताकि आपके उपयोगकर्ता लॉग इन करें example\user

सक्रिय निर्देशिका वन और ट्रस्ट में, आप अतिरिक्त UPN प्रत्यय भी बना सकते हैं। आपके डोमेन में सभी खातों के लिए प्राथमिक UPN प्रत्यय के रूप में @ example.com बनाने और स्थापित करने से आपको कुछ भी नहीं रोक रहा है। जब आप इसे पिछली NetBIOS अनुशंसा के साथ जोड़ते हैं, तो कोई भी अंतिम उपयोगकर्ता कभी नहीं देखेगा कि आपके डोमेन का FQDN है ad.example.com। सब कुछ जो वे देखते हैं example\या होगा @example.com। FQDN के साथ काम करने के लिए जिन लोगों की आवश्यकता होगी, वे ही हैं जो सिस्टम सक्रिय निर्देशिका के साथ काम करते हैं।

इसके अलावा, मान लें कि आप एक स्प्लिट-क्षितिज DNS नेमस्पेस का उपयोग करते हैं, जिसका अर्थ है कि आपका AD नाम आपकी सार्वजनिक-सामना करने वाली वेबसाइट के समान है। अब, आपके उपयोगकर्ता example.comआंतरिक रूप से तब तक प्राप्त नहीं कर सकते जब तक कि आपके पास www.उनके ब्राउज़र में उपसर्ग न हो या आप अपने सभी डोमेन नियंत्रकों पर IIS को चलाते हैं (यह खराब है)। आपको भी दो को क्यूरेट करना होगागैर-समान DNS ज़ोन जो एक असम्पीडित नेमस्पेस साझा करते हैं। यह वास्तव में इसके लायक होने की तुलना में अधिक परेशानी है। अब कल्पना करें कि आपकी किसी अन्य कंपनी के साथ साझेदारी है और उनके पास उनके AD और उनकी बाहरी उपस्थिति के साथ एक विभाजन-क्षितिज DNS कॉन्फ़िगरेशन भी है। आप दोनों के बीच एक निजी फाइबर लिंक है और आपको एक ट्रस्ट बनाने की आवश्यकता है। अब, आपके किसी भी सार्वजनिक स्थल पर आपके सभी ट्रैफ़िक को इंटरनेट पर बस बाहर जाने के बजाय निजी लिंक को पार करना होगा। यह दोनों तरफ नेटवर्क के प्रवेश के लिए सभी प्रकार के सिरदर्द भी बनाता है। इससे बचें। मुझ पर विश्वास करो।

लेकिन लेकिन लेकिन ...
गंभीरता से, मेरे द्वारा सुझाई गई दो चीजों में से एक का उपयोग न करने का कोई कारण नहीं है। किसी भी अन्य तरीके में नुकसान है। यदि यह कार्य कर रहा है और जगह में है, तो मैं आपको अपना डोमेन नाम बदलने के लिए जल्दी नहीं कह रहा हूं, लेकिन यदि आप एक नया विज्ञापन बना रहे हैं, तो उन दो चीजों में से एक करें जो मैंने ऊपर सुझाए हैं।

MDMarra
स्रोत
2
एक छोटा बिंदु - पुनर्विकास की सेवा के लिए IIS की तुलना में बहुत छोटे, तेज और सुरक्षित कुछ का उपयोग कर सकते हैं। यहां तक ​​कि haproxy या nginx शायद overkill हैं - अकेले apache2 की तरह एक पूर्ण विशेषताओं वाला सर्वर दें।
ऑरेंजडॉग
9
यह सच है, लेकिन यह सब टेढ़ा और अनावश्यक है।
एमडीएमरा
Uuuuw हाँ, यह बहुत दर्दनाक था जब किसी ने अचानक डोमेन local.net पंजीकृत किया और उस तारीख से पहले चुपचाप NXDOMAIN पाने वाले सभी प्रिंटरों ने अचानक जवाब नहीं दिया। वह कुछ मजेदार जाँच थी ...
जोहान्स
क्या मैं यह नोट कर सकता हूं कि .local "बना हुआ नहीं है" यह वास्तव में आरक्षित है; सिर्फ इस प्रकार के उपयोग के लिए नहीं: en.wikipedia.org/wiki/.local
mikebabcock
जिस समय यह लिखा गया था, यह आरक्षित नहीं था।
एमडीएमरा
34

एमडीएमरा के जवाब की सहायता करने के लिए:

आपको अपने डोमेन नाम के लिए कभी भी एकल-लेबल DNS नाम का उपयोग नहीं करना चाहिए । यह विंडोज 2008 आर 2 से पहले उपलब्ध था। कारण / स्पष्टीकरण यहां पाए जा सकते हैं: एकल-लेबल DNS नामों का उपयोग करके कॉन्फ़िगर किए गए सक्रिय निर्देशिका डोमेन की तैनाती और संचालन Microsoft समर्थन

आरक्षित शब्दों का उपयोग न करना न भूलें (इस पद के तल पर "नामकरण परंपरा" लिंक में एक तालिका शामिल है), जैसे कि सिस्टम या वर्ल्ड या RESTRICTED।

मैं Microsoft से भी सहमत हूँ कि आपको दो अतिरिक्त नियमों का पालन करना चाहिए (जो पत्थर में सेट नहीं हैं, लेकिन फिर भी):

  1. आपको अपने डोमेन का नाम किसी ऐसी चीज़ के आधार पर नहीं रखना चाहिए जो बदल जाएगी या पुरानी हो जाएगी। उदाहरणों में एक उत्पाद लाइन, ऑपरेटिंग सिस्टम, या कुछ और जो समय के साथ बदलने की संभावना है, आपके डोमेन का नामकरण शामिल है। सड़क के नीचे 5 या 10 साल की सूझबूझ बनाने के लिए भौगोलिक या कंक्रीट जैसी किसी चीज से चिपकना।
  2. 15 अक्षरों या उससे कम के छोटे नामों के साथ चिपके रहें, इससे NETBIOS नाम आसानी से डोमेन नाम के समान होगा।

अंत में, मैं आपको सलाह दूंगा कि आप यथासंभव लंबे समय तक सोचें। कंपनियां विलय और अधिग्रहण से गुजरती हैं, यहां तक ​​कि छोटी कंपनियां भी। बाहरी सहायता / परामर्श प्राप्त करने के संदर्भ में भी सोचें। डोमेन नाम, विज्ञापन संरचना आदि का उपयोग करें, जो एसएफ पर सलाहकारों या लोगों के लिए बहुत प्रयास के बिना समझा जा सकेगा।

ज्ञान लिंक:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

रूट वन डोमेन नाम के लिए Microsoft की वर्तमान (W2k12) अनुशंसा पृष्ठ

सफाई कर्मी
स्रोत
2

मैं उपयोग करने से असहमत हूं:

  • example.com - अन्य उत्तरों में पहले ही बताए गए कारणों के लिए

मैं का उपयोग कर स्वीकार कर सकते हैं:

  • ad.example.com - - अन्य उत्तरों में पहले ही बताए गए कारणों के लिए

लेकिन मैं इसे खुद नहीं करूंगा या इसकी सिफारिश नहीं करूंगा। कंपनी टेकओवर के दौरान, सभी नर्क को रीब्रांड करने से विशेष रूप से ढीले टूट जाते हैं, जब उस बिंदु पर प्रबंधन चीजों को तुरंत बदलना चाहता है। माइग्रेशन का नाम बदलना, परिवर्तन बहुत कठिन या महंगे हैं।

सबसे अच्छा तरीका है कि मैं सुझाऊंगा कि डोमेन खरीदना कंपनी के नाम के लिए अप्रासंगिक है और कंपनी के ब्रांड के लिए भी अप्रासंगिक है। SIMPLE.CLOUD या इसके समान ही ठीक करना चाहिए जब तक आप इसे अपना सकते हैं।

मैंने 150k उपयोगकर्ताओं के साथ बड़ी कंपनियों को AD का उपयोग करते देखा है जो अभी भी पुरानी कंपनी को संदर्भित कर रहे हैं जो उन्होंने वर्षों पहले खरीदी थी, या कंपनियां जिन्होंने नाम बदल दिए और भले ही यह लंबे समय से कोई फर्क नहीं पड़ता है कि आप \ login (यदि आप नहीं कर सकते हैं) का उपयोग कर रहे हैं UPN का उपयोग करें) यह अभी भी प्रबंधन के सामने बुरा है जो यह नहीं समझता है कि इसे बदलने के लिए तुच्छ क्यों नहीं है।

पागल लड़का
स्रोत
-15

मैं हमेशा करता हूं mydomain.local

local एक मान्य TLD नहीं है, इसलिए यह वास्तविक सार्वजनिक DNS प्रविष्टि के साथ प्रतिस्पर्धा नहीं करता है।

उदाहरण के लिए, मुझे यह जानना पसंद है कि web1.mydomain.localवेब सर्वर के आंतरिक आईपी का web1.mydomain.comसमाधान होगा , जबकि बाहरी आईपी का समाधान होगा।

पोर्टमैन
स्रोत
7
एफडब्ल्यूआईडब्ल्यू, .localप्रश्न एल-सर्वर पर हथौड़ा करता है - ~ 800 / सेकंड जब मैंने देखा।
jscott
2
dot.Local, AKA dot.Fail
PnP
2
एक अमान्य TLD (या एक अपंजीकृत डोमेन) का उपयोग करना सबसे अच्छा अभ्यास नहीं है, यह उपरोक्त सभी कारणों के लिए सबसे खराब अभ्यास है। मैं मानता हूँ कि मैंने .local का उपयोग किया है, लेकिन इससे पहले कि मैं बेहतर जानता था।
जोनाथन जे
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.