Windows Active Directoryの命名のベストプラクティス
これは、Active Directoryドメインの命名についての 標準的な質問 です。
仮想環境でWindowsドメインとドメインコントローラーを試してみたところ、DNSドメインと同じ名前のActive Directoryドメインを持つことは悪い考えであることがわかりました(つまり、example.comがある場合、Active Directory名としては適切ではありませんexample.comウェブサイトとして使用するために登録されたドメイン名)。
この関連質問はその結論をサポートしているようです ですが、Active Directoryドメインの命名に関して他にどのようなルールがあるのかはまだわかりません。
Active Directoryの名前をどのようにするべきか、またはすべきでないことについてのベストプラクティスはありますか?
これは、サーバーフォールトに関する楽しいトピックです。このトピックにはさまざまな「宗教的見解」があるようです。
Microsoftの推奨に同意します :会社の既に登録されているインターネットドメイン名のサブドメインを使用します。
だから、あなたがfoo.com、 使用する ad.foo.comまたはそのようなもの。
私が見ているように、最も卑劣なことは、Active Directoryドメイン名に登録済みのインターネットドメイン名をそのまま使用することです。これにより、インターネットDNS(wwwなど)からActive Directory DNSゾーンにレコードを手動でコピーして、「外部」名を解決できるようにする必要があります。 IISすべてのDCにインストールされ、誰かがfoo.comをブラウザにリダイレクトすると、www.foo.com by by IIS installations。Utter ssilness!
インターネットドメイン名を使用しても利点はありませんが、外部ホスト名が参照するIPアドレスを変更するたびに「機能する」ようになります。 (外部ホストに地理的に負荷分散されたDNSを使用し、それをそのような「スプリットDNS」状況と統合してみてください!ああ、それは楽しいでしょう...)
このようなサブドメインを使用しても、Exchangeメール配信やユーザープリンシパル名(UPN)サフィックス、BTWなどには影響しません。 (私は、インターネットドメイン名をADドメイン名として使用するための言い訳として両方引用されることがよくあります。)
言い訳は「たくさんの大企業がやる」。大企業は、中小企業よりも簡単に(それほどではないにしても)決定を下すことができます。大企業が悪い決断をして、どういうわけかそれが良い決断になるので、私はそれを購入しません。
この質問に対する正しい答えは2つだけです。
公的に使用するドメインの未使用のサブドメイン。たとえば、パブリックWebプレゼンスが
example.comの場合、内部ADはad.example.comまたはinternal.example.comのような名前になります。所有している未使用の第2レベルドメインで、他では使用していません。たとえば、公開ウェブプレゼンスが
example.comの場合、example.netを登録して他の場所で使用しない限り、ADの名前はexample.netになります。
これらはあなたの2つの唯一の選択肢です。あなたが何か他のことをするなら、あなたは多くの痛みと苦しみに自分を開いたままにしているでしょう。
しかし、誰もが.localを使用します!
重要ではありません。すべきではない。 。localおよび.lanや.corpのような他の構成されたTLDの使用についてブログを書きました 。どのような状況でもこれを行うべきではありません。
それはより安全ではありません。一部の人々が主張するような「ベストプラクティス」ではありません。そして、私が提案した2つの選択肢よりもメリットはありません。
ユーザー名がexample\userではなくad\userになるように、公開WebサイトのURLと同じ名前にしたい
これは有効ですが、見当違いの懸念です。ドメインで最初のDC=を昇格するとき、ドメインのNetBIOS名を任意の名前に設定できます。私のアドバイスに従ってドメインをad.example.com、ドメインのNetBIOS名をexampleに構成して、ユーザーがexample\userとしてログオンできるようにすることができます。
Active Directoryフォレストと信頼関係では、追加のUPNサフィックスを作成することもできます。ドメイン内のすべてのアカウントのプライマリUPNサフィックスとして@ example.comを作成および設定することを妨げるものは何もありません。これを以前のNetBIOS推奨事項と組み合わせると、エンドユーザーにはドメインのFQDNがad.example.comであることが表示されなくなります。表示されるものはすべてexample\または@example.comになります。 FQDNを使用する必要があるのは、Active Directoryを使用するシステム管理者だけです。
また、スプリットホライズンDNS名前空間を使用していると想定します。つまり、AD名は一般向けWebサイトと同じです。現在、ユーザーは、ブラウザーでプレフィックスexample.comを指定するか、すべてのドメインコントローラーでIIS)を実行しない限り、内部でwww.にアクセスできません(これは悪い。また、不整合な名前空間を共有する同一でないDNSゾーンを2つキュレートする必要がある。これは、実際よりも手間がかかる。他の会社とのパートナーシップがあると想像してみてください。また、ADと外部のプレゼンスを含むスプリットホライズンDNS構成があります。2つの間にプライベートファイバーリンクがあり、信頼を作成する必要があります。ここで、パブリックサイトへのすべてのトラフィックが通過する必要があります。インターネットを介して出て行くのではなく、プライベートリンク。また、両側のネットワーク管理者にあらゆる種類の頭痛の種を引き起こします。これは避けてください。信頼してください。
しかししかし...
真剣に、私が提案した2つのことの1つを使用しない理由はありません。他の方法には落とし穴があります。 Rushが機能していて適切な場所にある場合はドメイン名を変更するように言っているわけではありませんが、新しいADを作成している場合は、上記で推奨した2つのことのいずれかを行ってください。
MDMarraの回答を支援するには:
ドメイン名には単一ラベルのDNS名を使用しないでくださいも使用してください。これは、Windows 2008 R2より前のバージョンで利用可能でした。理由/説明はここにあります: 単一ラベルDNS名を使用して構成されたActive Directoryドメインの展開と操作|マイクロソフトサポート
予約語を使用しないことを忘れないでください(表はこの投稿の下部にある「命名規則」リンクに含まれています)、SYSTEM、WORLD、RESTRICTEDなど。
また、次の2つの追加ルールに従う必要があるという点でも、マイクロソフトに同意します(これは堅実ではありませんが)。
- 変更または古いものに基づいてドメインに名前を付けないでください。例としては、製品ライン、オペレーティングシステム、または時間とともに変化する可能性のあるその他の要素に基づいてドメインに名前を付けることが含まれます。 5年後、あるいは10年後も意味のある地理的または具体的なものを使用してください。
- 15文字以下の短い名前を使用すると、NETBIOS名をドメイン名と簡単に同じにすることができます。
最後に、できるだけ長期的に考えることをお勧めします。企業は小規模企業であっても、合併や買収を経験しています。また、外部の助け/相談を受けるという観点から考えてください。コンサルタントやここSFの人々に説明しやすいドメイン名、AD構造などを、あまり努力せずに使用してください。
ナレッジリンク:
http://technet.Microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx
http://support.Microsoft.com/kb/909264
私は使用に同意しません:
- example.com-他の回答ですでに述べられている理由
私は使用を受け入れることができました:
- ad.example.com--他の回答ですでに述べられている理由
しかし、私はそれを自分でやったり、お勧めしたりはしません。会社買収の際、特にその時点の経営陣が物事をすぐに変更したい場合は、すべてのブランドを再ブランディングすることができます。マイグレーションの名前を変更すると、変更は非常に困難またはコストがかかります。
私がお勧めする最良の方法は、会社名や会社のブランドに関係のないドメインを購入することです。 SIMPLE.CLOUDまたは同様のもので十分です所有できる限り
15万人のユーザーがADを使用していて、何年も前に購入した古い会社を参照している大企業や、名前を変更した会社で、長期的には\ loginを使用していることは問題ではない(私ができない場合) UPNを使用してください)それを変更するのが簡単ではない理由を理解していない管理者の前ではまだ悪いように見えます。