Active Directoryで新しいフォレストを作成するときに、ルートドメイン名を登録する必要がありますか?
Windows Server 2012 R2を実行しているドメインコントローラーのActive Directoryに新しいフォレストを作成するときに、ルートドメイン名を指定するように求められました。ドメイン名は私が登録して所有している必要がありますか? Microsoft.comのような他の人が登録および所有しているドメインに入るとどうなりますか?後でこのドメインにWindowsコンピューターを追加しようとすると、インターネットに出てMicrosoft.comを検索しますか、それともそのサブネット(ドメインコントローラー)だけを検索しますか? Microsoft.comのように所有されているドメインを入力するだけでも安全ですか?
Active Directoryドメインの名前は内部でのみ使用されるため、couldに任意の名前を付けます。ただし、Active Directory環境では、ドメイン名はドメイン内のすべてのコンピューターのDNSサフィックスとしても機能し、ドメインコントローラーはそのDNSドメインに対して権限のある(または少なくとも以前と同じように動作する)内部DNSサーバーとして機能します。
つまり、ADドメイン名がインターネット上に存在する実際のドメイン名と競合する場合、そのドメインに対するすべてのDNSクエリは、ドメインを管理する実際のインターネットDNSサーバーではなく、DCによって応答されます。あなたの場合、ドメインに「Microsoft.com」という名前を付けると、Microsoftのサイトまたはサービスに接続しようとすると、そのドメインのパブリックDNSサーバーにクエリを実行できないため、あらゆる種類の問題が発生します(内部DNSサーバーが正当にそれを所有していると信じているからです)。
ちなみに、実際のパブリックDNSドメインをActive Directoryドメインとして使用する場合も同じことが言えます。もちろん、実際に両方を所有しているため、状況ははるかに単純ですが、同じドメインに対して2つの異なるDNS設定を行う必要があります。 1つはインターネット用、もう1つは内部ネットワーク用です。
ベストプラクティスとして、パブリックDNSドメインのサブドメインをADドメイン名として使用する必要があります。もしもパブリックドメインが「domain.com」の場合、有効なサブドメインであれば、「internal.domain.com」や「ad.domain.com」などを使用できます。これにより、競合がなくなり、頭痛が大幅に軽減されます。
とにかく、not現在アクティブではない場合でも、実際には所有していないドメイン名を使用する必要があります(後で他のユーザーが登録する可能性があり、頭痛の種になるためです)。
ベストプラクティスとして、ローカルDC=をコンピューターのDNSとしてのみ構成します(外部DNSなし)。
したがって、* Microsoft.comに対するすべてのクエリはDCによって応答され、support.Microsoft.comなどのサイトにアクセスしようとすると、ほとんどが不明として失敗します。 。
国tldを使用すると、多くのドメイン名を持つことができ、費用はかかりません。所有しない理由はまったくありません。