我知道目前的最佳实践要求我的 Windows AD 域名应该是购买的全球唯一命名空间(即 ad.namespace.com)的子域。这很好,花花公子。
我的问题是,如果我们的公共域注册失效并且有人从我们下面抢注了域名(坏人现在拥有 namespace.com),会引入哪些潜在的安全漏洞?他们是否可以利用一些 DNS 巫术来破坏我们位于 ad.namespace.com 的内部网络?一个不知情的最终用户是否会被诱骗做他们不应该做的事情,或者通过访问一个占据我们抢注网址的恶意网站来泄露敏感的私人域信息?是否存在因拥有我们根级域名的坏人而导致的任何远程 AD 身份验证漏洞?
我可能会因为这样说而激怒,但让私有 AD 域占据一个无法从 Internet 访问的单独命名空间(如whatever.local)似乎更安全。我知道这是讨厌的。有人请让我放心。我已经派了几天来试图研究这个问题,但我找不到其他人分享我对根级域名潜在危害的担忧。或许我只是在闹脾气。提前致谢。