1. Situația este prima. Nume de domeniu - domainname.local
Există mai multe scenarii, dar vă voi spune și veți deveni dureroase. Să presupunem că instalați într-o organizație Exchange Server care are nevoie de un certificat pentru criptarea conexiunilor client. Vreau un certificat de la un centru comercial, totul e ca și oamenii. În mod firesc, certificatul trebuie să specifice toate numele serverului pentru care serverul va fi disponibil. Și dacă domeniul extern ne aparține și ușor pentru a trece de validare, domeniul intern o super-firma.moscow la nu există și atunci când încearcă să explice AC trebuie să se ghiftui într-un SAN FQDN - exchange.super-firma.moscow primi un răspuns:
Nu este posibil, emitem doar certificate pentru nume reale de domenii.
În prezent, Autoritatea de Certificare Comodo are permisiunea de a împinge în certificatul SAN orice cuvinte indecente, ceea ce îngreunează în mod considerabil alegerea furnizorului de certificate și nu există nici o garanție că acestea vor rezolva mai departe acest lucru.
2. A doua situație. Numele de domeniu AD este identic cu numele de domeniu extern de Internet.
Pentru a rezolva această problemă, va trebui să înregistrați înregistrări externe în două zone, ceea ce duce în mod inevitabil la confuzie și la o rutină suplimentară. Dacă acest lucru nu vă sperie, încercați acest scenariu pentru a permite utilizatorilor să deschidă un site corporativ fără prefixul www. În general, o opțiune proastă și nu o folosiți.
Salutări speciale acelor administratori care și-au desemnat domeniile interne numele altor domenii publice celebre. Cred că, în acest caz, cu ce aveți hemoroizi, nu este necesar să explicați.
3. Situația este a treia. Un nume de domeniu plat format dintr-un singur cuvânt.
Dacă primele două opțiuni pot supraviețui, atunci pentru numele de domenii plate este timpul să introduceți pedeapsa administrativă. Domeniul cu un singur etichetă (SLD) este un domeniu care conține numai o componentă nominală. De unde a venit mania să le folosească, nu știu, dar de mult timp a fost recunoscut oficial că domeniile SLD nu ar trebui să fie folosite în construirea de infrastructuri IT.
Cât de corect să denumiți domeniul?
Răspunsul este simplu. Faceți un spațiu de nume convenit. De exemplu, având domeniul itband.ru în lumea reală, domeniul Active Directory este de a crea un subdomeniu precum corp.itband.ru. În această situație, toate problemele dispar. Nu este necesar să faceți delegarea subdomeniului DNS pe un server DNS extern. Deși dacă faceți acest lucru, puteți obține rezoluția numelor în ambele direcții. (din rețeaua internă de nume externe, din Internet de nume interne)
Citiți mesajul, am scris problema.
În ceea ce privește primul scenariu: da, într-adevăr, Microsoft nu recomandă utilizarea internetului neînregistrat dns-sufixul, dar nu este atât de mult o problemă cu certificatele (sau altceva), dar incapacitatea de a oferi unele nume unice, în cazul unei fuziuni în continuare. Din nou, dacă nu aveți astfel de cerințe, atunci nici măcar nu vă puteți gândi. Un alt lucru este dacă există cerințe speciale sau există un anumit mediu specific.
În ceea ce privește Exchange și certificatele pentru IIS: aceasta nu este o problemă și este rezolvată. Da, și de ce pe site-ul extern strălucesc înregistrări ale resurselor interne?
Prin urmare, în opinia mea, nu se poate descrie în trei rânduri cum se poate face, dar cum nu. Este necesar fie să scrieți despre cazuri specifice de probleme, fie pur și simplu să traduceți ceea ce Microsoft a scris deja în ceea ce privește denumirea.
Trebuie să apelați serviciile dvs. de telefonie, având în vedere mediul și, cel mai important, conform cerințelor!
Cu ocazia faptului că Microsoft scrie că domeniul este o frontieră de securitate:
Acest lucru nu este adevărat. Microsoft scrie că domeniul este un fel de limită a politicii de parolă (în special configurația Kerberos), dar nici ca limită de securitate. În documente puteți vedea ceva de genul:
Deoarece un domeniu nu este o limită de securitate, este posibil ca un administrator de serviciu rău intenționat, cum ar fi un membru al grupului de domeniu adminii, de a utiliza instrumente și proceduri non-standard pentru a avea acces deplin la orice domeniu în pădure sau la orice computer din pădure. De exemplu, administratorii de servicii dintr-un domeniu nonroot pot deveni membrii grupului Administratori de întreprinderi sau Administratori de scheme.
Se pare că articolul se ocupă de un caz cu un singur domeniu rădăcină, dar există cazuri când sunt creați copaci cu spații de nume diferite, pentru care pot exista motive legale sau altele. Este mai simplu să redenumiți articolul la: "Care sunt opțiunile de denumire în care cazuri este mai convenabil de utilizat", legi și teoreme cu dovezi că puteți folosi opțiunile nu sunt, totul va fi afectat de fantezia arhitectului :)
Victor, e mai ușor să nu fii inteligent și să nu inventezi "nici un" motiv. Nu există probleme cu mai mulți copaci, abordarea este aceeași ca în articol. O fantezie în arhitectura IT, în loc de a calcula, de obicei se încheie cu tristețe.
Ilia Am spus că există diferite situații în care numele extern nu este absolut la fel ca interior, atunci când se utilizează mai mult de o zonă exterioară și că toată lumea va trebui să folosească pădurea redenumiți pentru ușurința dvs. de viață și se potrivesc în conformitate cu versiunea de care este numit singurul test adevărat) ? Nu văd o problemă cu primul exemplu de realizare, în ceea ce privește rezoluția numele, vă rugăm să folosiți Split-DNS nume atât de multe, iar acestea sunt schimbate la fiecare două zile, în zonele exterioare. Navenyaka, dacă ar exista o adevărată versiune a denumirii, ni s-ar fi spus în ghidurile de proiectare. Tocmai am văzut o descriere a unei versiuni neacceptate cu nume plate.
"Și nu este necesar să faceți delegarea subdomeniului DNS pe un server DNS extern. Deși dacă faceți acest lucru, puteți obține rezoluția numelor în ambele direcții. (din rețeaua internă de nume externe, de pe Internet de nume interne) "
Spuneți-mi, vă rog, sau direcționați în direcția corectă (nu înțeleg încă, dar este foarte interesant!):
Ce va conduce la ceea ce delegația subdomeniului la rezoluția externă BDN - "a numelor în ambele direcții. (din rețeaua internă de nume externe, de pe Internet de nume interne) "" - cum va fi realizată această rezoluție a numelui și de ce acest lucru poate fi util? "
Ca o alternativă pot vedea folosind atât - de exemplu, în corp.itband.ru poate adăuga o intrare în subdomeniul cum ar fi un „ithome“, dar eu nu înțeleg ce este util „rezoluția de nume în ambele direcții.“
În avans, mulțumesc pentru răspuns
O întrebare din secțiunea "Salutări speciale acelor administratori care și-au desemnat domeniile interne numele altor domenii publice celebre. Cred că ce fel de hemoroizi trebuie să explici în acest caz nu este necesar. "
Compania cu numele de domeniu "NAME_COMPANY.OFFICE" a fost livrată. Totul a fost bun. Problemele au început acum o lună.
Spune-mi cum să rezolve temporar problema?
Băieți, este nedureroasă să nu plec.
Rezultatul este o migrare încrucișată între păduri. Există încă o variantă a domeniului redenumit, dar există atât de multe "BUT".
Ilya, te înțeleg.
În acest caz, încă o întrebare: este necesar să faceți migrația prin pădure sau puteți ridica al doilea domeniu în aceeași pădure și să migrați. Care ar putea fi problema în acest sens, în comparație cu migrația dintre păduri?
Cred că aceasta este o cale de sfârșit, în măsura în care știu că domeniul rădăcină nu va fi eliminat după migrare. (și este pentru toate problematic probabil rădăcină)
Articole similare
Trimiteți-le prietenilor: