将真实域用于 Active Directory 域的问题？

不要将您的“真实域名”用于 Active Directory 域名。AdamB 给出“PITA 因素”的原因正是不这样做的原因，而且不仅仅是“PITA”。

为已经在其他地方拥有权威名称服务器的域设置权威的 DNS 服务器是不好的做法。如果这样做，您很快就会想要解析“已经权威”的名称，并且需要手动将记录复制到您的内部 DNS 服务器中。

如果您想要一个与您的“真实”域名连续的命名空间，请尝试使用“ad.company.com”之类的名称。将“company.com”排除在外。

编辑：

现在我想我知道你要去哪里了。您应该真正了解 Active Directory 如何使用 DNS（http://technet.microsoft.com/en-us/library/cc759550(WS.10).aspx )。您确实想在本地托管 Active Directory 的 DNS！

您的 Internet 域名（用于您的电子邮件、网站等）的 DNS 绝对应该在外部托管，但这不必（并且实际上不应该）与您用于 Active Directory 域名的域名相同.

您的外部 DNS 主机可能不支持使 Active Directory 在其 DNS 服务器中正常工作所需的所有功能。特别是，它们可能不会支持动态 DNS 注册或基于 GSSAPI 的安全更新。

除此之外，您的所有域成员客户端和服务器计算机都将需要 DNS 来执行登录和应用组策略等基本操作。您不想将其与您的 Internet 连接连接起来！

您必须使用 Windows Server 计算机来托管 Active Directory 本身。通常还使用这些域控制器计算机来托管 Active Directory 的 DNS（并且经常将其他名称的请求转发到 ISP 的 DNS 服务器或根 DNS 服务器）并将这些 DNS 服务器用作所有域的 DNS 服务器- 成员客户端和服务器计算机。

我喜欢这种方法...我发现的唯一 PITA 因素是，如果您更改外部 DNS（用于公共服务，而不是 AD 链接）服务器，您必须记住更改/添加条目您的内部 DNS 服务器。

因此，例如，如果您将您的网站移动到另一个 IP 地址并使用 register.com（或 godaddy 或其他任何地方）更改您的条目，您必须进入并更改本地 DNS 服务器上的 IP。

编辑：我遇到了一篇名为“计算机、域、站点和 OU 的 Active Directory 的命名约定”的 MS 文章。

在该文件中，他们说：

连接到 Internet 的 DNS 命名空间必须是 Internet DNS 命名空间的顶级域或二级域的子域。

在该文档的进一步内容中，他们推荐了 corp.yourdomain.com 之类的内容作为示例。

我继承了一个内部和外部 DNS 名称相同的网络。这是一个相对较小的企业，只有几个外部主机，所以我遇到的问题很小。内部 DNS 托管在本地，我强烈建议您也这样做。外部 DNS 由 ISP 托管，仅包含需要从 Internet 访问的主机的记录。我遇到的（小）问题主要是确保我在内部和外部 DNS 上复制了任何可通过 Internet 访问的主机。

例如，mail.company.com可以在网络内部和外部访问，主机vpn和www也是如此。我需要确保当这些主机中的任何一个发生更改（他们做了几次）时，两个 DNS 服务器都被更改了。

底线 - 这不是最佳实践。但是，如果您只有几台可访问 Internet 的主机，那也没什么大不了的。您真的应该在本地域控制器上托管您的 AD DNS。您可能不应该将本地 DNS 暴露给 Internet。