Windows Active Directory 命名最佳实践？

这是关于服务器故障的一个有趣的讨论话题。关于这个话题似乎有不同的“宗教观点”。

我同意微软的建议：使用公司已经注册的互联网域名的子域。

所以，如果你拥有foo.com，使用ad.foo.com或类似的东西。

在我看来，最卑鄙的事情是将已注册的 Internet 域名逐字用于 Active Directory 域名。这会导致您被迫手动将记录从 Internet DNS（如www）复制到 Active Directory DNS 区域，以允许解析“外部”名称。我见过一些非常愚蠢的事情，比如在一个运行网站的组织中的每个 DC 上都安装了 IIS，该网站执行重定向，这样进入foo.com浏览器的人就会被www.foo.com这些 IIS 安装重定向到。愚蠢至极！

使用 Internet 域名不会给您带来任何好处，但每次更改外部主机名所引用的 IP 地址时都会产生“工作”。（尝试为外部主机使用地理负载平衡的 DNS，并将其与这种“拆分 DNS”情况集成！哎呀——那会很有趣...）

使用这样的子域对 Exchange 电子邮件传递或用户主体名称 (UPN) 后缀（顺便说一句）没有影响。（我经常看到这两个被引用为使用 Internet 域名作为 AD 域名的借口。）

我也看到了“很多大公司都这样做”的借口。大公司可以比小公司更容易（如果不是更多的话）做出愚蠢的决定。我不会仅仅因为一家大公司做出了一个错误的决定而以某种方式使它成为一个好的决定。

这个问题只有两个正确答案。

1. 您公开使用的域的未使用子域。例如，如果您的公共网络存在是example.com您的内部广告，则可能会命名为ad.example.com或internal.example.com。

2. 您拥有且未在其他任何地方使用的未使用二级域。例如，如果您的公共网络存在是您的广告，只要您已注册并且不在其他任何地方使用它，example.com您的广告就可能会被命名！example.net example.net

这是您仅有的两个选择。如果你做其他事情，你就会让自己承受很多痛苦和折磨。

但是每个人都使用 .local！
没关系。你不应该。我写过关于 .local 和其他组成的顶级域名（如 .lan 和 .corp ）的使用的博客。在任何情况下，您都不应该这样做。

这不是更安全。这不是某些人声称的“最佳实践”。与我提出的两种选择相比，它没有任何好处。

但我想将其命名为与我的公共网站的 URL 相同的名称，以便我的用户example\user不是。ad\user
这是一个有效但被误导的担忧。当您提升域中的第一个 DC 时，您可以将域的 NetBIOS 名称设置为您想要的任何名称。如果您按照我的建议将您的域设置为ad.example.com，您可以将域的 NetBIOS 名称配置为 ，example以便您的用户以example\user.

在 Active Directory 林和信任中，您还可以创建其他 UPN 后缀。没有什么能阻止您创建和设置 @example.com 作为您域中所有帐户的主要 UPN 后缀。当您将此与之前的 NetBIOS 建议结合使用时，最终用户将永远不会看到您域的 FQDN 是ad.example.com. 他们看到的一切都将是example\或@example.com。唯一需要使用 FQDN 的人是使用 Active Directory 的系统管理员。

此外，假设您使用水平分割 DNS 命名空间，这意味着您的 AD 名称与面向公众的网站相同。现在，您的用户无法访问example.com内部，除非您www.在他们的浏览器中为他们添加前缀，或者您在所有域控制器上运行 IIS（这很糟糕）。你还必须策划两个共享不相交命名空间的不同 DNS 区域。这真的比它的价值更麻烦。现在想象一下，您与另一家公司建立了合作伙伴关系，并且他们也有一个水平分割 DNS 配置以及他们的 AD 和他们的外部存在。您在两者之间有一条私有光纤链路，您需要创建一个信任。现在，您到他们的任何公共站点的所有流量都必须遍历私有链接，而不仅仅是通过 Internet。这也给双方的网络管理员带来了各种头痛。避免这种情况。相信我。

但是但是但是……
说真的，没有理由不使用我建议的两件事之一。任何其他方式都有陷阱。我并不是要您在域名正常运行且就位的情况下急于更改域名，但如果您要创建新的 AD，请执行我上面推荐的两件事之一。

为了协助 MDMarra 的回答：

您也不应该为您的域名使用单标签 DNS 名称。这在 Windows 2008 R2 之前/现在可用。原因/解释可以在这里找到： 使用单标签 DNS 名称配置的 Active Directory 域的部署和操作 | 微软支持

不要忘记不要使用保留字（本文底部的“命名约定”链接中包含一个表格），例如 SYSTEM 或 WORLD 或 RESTRICTED。

我也同意微软的观点，你应该遵循两个额外的规则（不是一成不变的，但仍然）：

1. 你不应该根据会改变或过时的东西来命名你的域。示例包括以产品线、操作系统或任何其他可能随时间变化的内容命名您的域。坚持使用足以在 5 年甚至 10 年后有意义的地理或具体事物。
2. 坚持使用 15 个字符或更少的短名称，这将允许 NETBIOS 名称轻松与域名相同。

最后，我建议你尽可能地考虑长远。公司确实会进行并购，即使是小公司。还要考虑获得外部帮助/咨询。使用域名、AD 结构等，这些内容可以轻松地向 SF 上的顾问或人员解释。

知识链接：

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

微软当前（W2k12）根林域名推荐页面

我不同意使用：

• example.com - 由于其他答案中已经说明的原因

我可以接受使用：

• ad.example.com - - 由于其他答案中已经说明的原因

但我不会自己做或推荐它。在公司收购期间，品牌重塑一切都变得松散，尤其是当管理层当时希望事情立即发生变化时。重命名迁移，更改非常困难或昂贵。

我推荐的最佳方式是购买与公司名称无关且与公司品牌无关的域名。只要您可以拥有它，SIMPLE.CLOUD或类似的东西就可以了。

我见过拥有 150k 用户的大公司使用 AD 仍然引用他们多年前购买的旧公司，或者更改名称的公司，即使从长远来看你使用 \login 并不重要（如果你不能使用 UPN）在管理人员面前看起来仍然很糟糕，他们不明白为什么改变它不是微不足道的。

我总是这样做mydomain.local。

local不是有效的 TLD，因此它永远不会与实际的公共 DNS 条目竞争。

例如，我希望能够知道web1.mydomain.local它将解析为 Web 服务器的内部 IP，而web1.mydomain.com将解析为外部 IP。