Как правильно назвать домен Active Directory

Взято с — http://it-band.net/kak-pravilno-nazvat-domain-active-directory/

О том, как правильно назвать домен Active Directory задумывается рано или поздно каждый системный администратор. От этого, на первый взгляд не сильно важного момента, в будущем будет зависеть множество сэкономленных часов и нервов. Ведь вся планируемая инфраструктура, основанная на продуктах Microsoft, строится на фундаменте из Active Directory, который служит своего рода связующим звеном между ними. Давайте по порядку рассмотрим разные встречающиеся варианты именования домена Active Directory, начиная от самых худших и закончим самым оптимальным, с моей точки зрения, вариантом именования новоиспеченного домена.

Как называть нельзя

Single-Label Domain Name

Этот частный случай именования домена получается, когда ему дают DNS-имя какdomain (без точек). Отсюда и следует название такого способа именования домена Active Directory, как Single-Label. Чем плох такой способ? Тем, что полностью противоречит самой идеологии DNS, от которой зависит Active Directory. Компьютеры, включенные в такой однокомпонентный домен, требуют настройки для регистрации и разрешения в DNS-зонах с однокомпонентными именами. Windows Server 2008 выдает предупреждение при попытке создать такой домен Active Directory, а начиная с Windows Server 2008 R2 мастер dcpromo.exe заблокирует попытку создания Single-Label домена. Большинство приложений также не работают с таким типом доменов Active Directory, например Exchange Server. Более подробно о Single-Label доменах можно прочитать в статье базы знаний Microsoft.

Недопустимые символы в имени домена

Функционирование Active Directory целиком зависит от службы DNS, поэтому если в имени домена будут запрещенные символы, то нормальная работа такого домена будет невозможна. К таким символам, например, относятся: двоеточие ( : ), слэш ( / ) и бэк-слэш ( \ ), знак номера ( # ), собачка ( @ ), тильда (

). Так же, согласно RFC 1123, не следует использовать в имени домена знак подчеркивания ( _ ). Это сулит большие проблемы, например, нельзя установить Exchange Server 2007 и выше. Единственные символы, которые можно использовать в имени домена Active Directory это буквы, цифры, знак тире ( — ) и точка ( . ), но она не может стоять в начале или в конце имени домена. Новые версии Windows Server не позволят вам дать имя домену если оно не соответствует стандарту.

Как домен Active Directory называть не стоит

Disjoint Namespace

В большинстве развертываний Active Directory основной DNS-суффикс входящих в домен компьютеров такой же, как и DNS-имя домена. Если они отличаются, то такая топология называется Disjoint Namespace. Она может возникнуть по нескольким причинам, например, в связи со слиянием нескольких предприятий. Пример Disjoint Namespace: NETBIOS-имя домена: CORP DNS-имя: central.it-band.net Отдельным случаем Disjoint Namespace является ситуация, когда NetBIOS-имя контроллера домена не совпадает с его DNS именем. Вообще, такие конфигурации полностью поддерживаются и нормально функционируют, но вносят много путаницы и неясностей, а также чреваты потенциальными граблями при настройке Exchange Server. Более детальную информацию о Disjoint Namespace можно получить в статье на Technet.

.local

Достоверно не известно, откуда пошла мода именовать домены Active Directory какsomecorp.local. Одна из версий такова, что в былые времена, на одном из докладов по Windows Server, выступающий продемонстрировал тестовую среду, где домен был назван именно таким образом. Для тестовых и учебных применений, такие имена вполне годятся. Но запускать такое в реальные условия лучше не стоит. Перечислим основные причины почему:

• Самая важная причина не называть домен Active Directory таким образом состоит в том, что вы никак не сможете подтвердить владение им для получения публичного SSL-сертификата. На данный момент существует еще лазейка с использованием поля SAN (Subject Alternative Name) в сертификатах и некоторых CA, например Comodo, которые позволяют в это самое поле ставить такие домены. Но в 2015 году этот путь будет прикрыт.
• Такое имя невозможно использовать из внешней сети, а значит и получить доступ, например, к почте.
• Данный способ именования вступает в противоречие с глобальным DNS, так как не гарантирует его уникальность что приводит к потенциальным коллизиям.

Что же остается?

ICANN

Чтобы избежать всех вышеперечисленных проблем, домен Active Directory следует именовать согласно глобальному официально зарегистрированному имени в ICANN(Internet Corporation for Assigned Names and Numbers). Пример именования домена согласно ICANN: it-band.net

Пара тонкостей

А теперь давайте предположим, что у нас задача создать инфраструктуру для компании IT-Band. Данная компания имеет свой веб сайт http://it-band.net и работники используют адреса электронной почты вида m.petrov@it-band.net И, основываясь на всей выше изложенной информации, мы решаем дать имя домену Active Directory как it-band.net. Но не будем торопиться это делать, потому что:

• Набрав в браузере компьютера, находящегося в таком домене, адрес веб сайта нашей компании, мы попадем совсем не на него, а на один из контроллеров домена.
• Вам придется следить за двумя зонами в DNS — публичной и внутренней, чтобы DNS-записи существовали в обоих и были синхронизированы.
• Появляется вероятность образования коллизий между внешними и внутренними ресурсами в таком домене.

Как же тогда поступить? Все просто — использовать для домена Active Directory поддомен основного ICANN-имени. Например, corp.it-band.net. Вторым способом решения проблемы является использование другого дополнительного домена, например it-band.biz. Эти два способа полностью решают все описанные недостатки. Однако, первый способ имеет пару небольших преимуществ:

• Все удобно консолидировано в одно доменное имя.
• Не нужно оплачивать второе доменное имя.

Присвоение имен доменов Assigning Domain Names

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Необходимо назначить имя каждому домену в плане. You must assign a name to every domain in your plan. Домены служб домен Active Directory Services (AD DS) имеют имена двух типов: DNS-имена и имена NetBIOS. Active Directory Domain Services (AD DS) domains have two types of names: Domain Name System (DNS) names and NetBIOS names. Как правило, оба имени видны конечным пользователям. In general, both names are visible to end users. DNS-имена Active Directory доменов включают в себя две части: префикс и суффикс. The DNS names of Active Directory domains include two parts, a prefix and a suffix. При создании доменных имен сначала определите префикс DNS. When creating domain names, first determine the DNS prefix. Это первая метка в DNS-имени домена. This is the first label in the DNS name of the domain. Суффикс определяется при выборе имени корневого домена леса. The suffix is determined when you select the name of the forest root domain. В следующей таблице перечислены правила именования префиксов для DNS-имен. The following table lists the prefix naming rules for DNS names.

Правило Rule	Объяснение Explanation
Выберите префикс, который, скорее всего, станет устаревшим. Select a prefix that is not likely to become outdated.	Избегайте таких имен, как линейка продуктов или операционная система, которые могут измениться в будущем. Avoid names such as a product line or operating system that might change in the future. Рекомендуется использовать географические имена. We recommend using geographical names.
Выберите префикс, включающий только стандартные символы Интернета. Select a prefix that includes Internet standard characters only.	A – Z, a – z, 0-9 и (-), но не полностью числовое. A-Z, a-z, 0-9, and (-), but not entirely numerical.
В префиксе должно быть не более 15 символов. Include 15 characters or less in the prefix.	Если выбрана длина префикса не более 15 символов, NetBIOS-имя совпадает с префиксом. If you choose a prefix length of 15 characters or less, the NetBIOS name is the same as the prefix.

Хотя Dcpromo.exe в Windows Server 2008 и Windows Server 2003 позволяет создавать однокомпонентное DNS-имя домена, не следует использовать однокомпонентное DNS-имя для домена по нескольким причинам. Although Dcpromo.exe in Windows Server 2008 and Windows Server 2003 allows you to create a single-label DNS domain name, you should not use a single-label DNS name for a domain for several reasons. В Windows Server 2008 R2 Dcpromo.exe не позволяет создавать однокомпонентное DNS-имя для домена. In Windows Server 2008 R2, Dcpromo.exe does not allow you to create a single-label DNS name for a domain. Дополнительные сведения см. в разделе развертывание и работа Active Directory доменов, настроенных с помощью однокомпонентных DNS-имен. For more information, see Deployment and operation of Active Directory domains that are configured by using single-label DNS names.

Если текущее имя NetBIOS домена не подходит для представления региона или не удовлетворяет правилам именования префиксов, выберите новый префикс. If the current NetBIOS name of the domain is inappropriate to represent the region or fails to satisfy the prefix naming rules, select a new prefix. В этом случае NetBIOS-имя домена отличается от префикса DNS домена. In this case, the NetBIOS name of the domain is different from the DNS prefix of the domain.

Для каждого нового развертываемого домена выберите префикс, соответствующий региону и удовлетворяющий правилам именования префиксов. For each new domain that you deploy, select a prefix that is appropriate for the region and that satisfies prefix naming rules. Рекомендуется, чтобы имя NetBIOS домена совпадало с префиксом DNS. We recommend that the NetBIOS name of the domain be the same as the DNS prefix.

blog.eaglenn.ru | Заметки IT инженера

Microsoft, Linux, Lync и etc……

Выбор имени домена Active Directory

Введение

Вчера, к нам в студию, поступило письмо от нашего постоянного читателя Андрея, с вопросом:

С удовольствием читаю ваш блог, много полезного для себя узнал, хотел узнать ваше мнение по поводу имени домена Active Directory, многие пишут что называть стоит его *организация*.local, а кто-то пишет что стоит назвать так-же как и домен.

Давайте кратко разберемся какое же лучше использовать имя при наименовании домена внутри организации.

Как показывает практика выбор имени домена может поставить в ступор даже опытного системного администратора. При первом запуске утилиты dcpromo имя домена будет сгенерировано автоматически и случайным образом, если уже на этом этапе не привести имя домена в соответствие необходимым правилам, то в будущем изменить имя домена будет сложнее. Давайте рассмотрим возможные варианты в порядке их популярности.

1. Домен с именем example.local

Лидером нашего хит-парада является именование домена с окончанием на local. Существуют и другие вариации на эту тему, например test, firma, factory, nn, loc, и так далее. Сейчас даже уже и не вспомнишь откуда пошла такая любовь, во всех своих книгах компания Microsoft всегда использует свои именование вида contoso.com, где мы четко видим формат именования домена. Однако на протяжении почти 10 лет домен .local занимал лидирующие позиции. Ситуация стала выравниваться с приходом сервисов использующих в своей работе SSL сертификаты. Где использование доменов «пофиг и так сойдет» становится не возможным. Смотрите, предположим, что ваша компания использует внутри организации Exchange server, которому необходим ssl сертификат для шифрования клиентских подключений. Согласно вашему сценарию для реализации этой задачи вам необходим сертификат внешнего центра сертификации, в котором необходимо указать все имена серверов используемых для внешнего подключения. Казалось бы что такого, записываем все имена серверов и подаем заявку на выпуск сертификатов, но есть одно но. С именем такого домена вы не сможете пройти валидацию, так как домен «пофиг и так сойдет» не существует и на попытку объяснить внешнему центру сертификации, что вам в SAN нужно засунуть FQDN имя не существующего домена получите мягкий отказ:

It’s not possible, we issue only certificates for real domain names.

Но существует еще одна неприятность. Использование доменного имени не принадлежащего вам в имени домена может привести к плачевным последствиям. Представьте ситуацию если зона local будет иметь статус публичной. Как зона com или ru. Дальше я думаю продолжать не стоит 🙂

2. Имя домена совпадает с внешним именем домена

Второе место нашего хит-парада. Не смотря на то, что такой сценарий является менее популярным, он все же имеет право на жизнь. Кроме того, что в ближайшем будущем вы все же получите некоторые неудобства при обслуживании сети, больше вам ничего не угрожает. Основной проблемой в этом сценарии будет то, что вам придется поддерживать два DNS сервера: внутренний и внешний. При таком условии компьютеры находящиеся внутри сети будут использовать для разрешения имен внутренний DNS сервер, а компьютера за периметром компании внешний. Предположим ваш домен носит гордое название example.com. В DMZ зоне у вас находится сайт компании с именем example.com. В описанном сценарии выше компьютеры находящиеся внутри организации не смогут получить к нему доступ ввиду того что для них example.com это имя домена и при вводе этого адреса в браузере они будут попадать на контроллер домена. Как я уже отметил выше кроме неудобства это ни к чему не приведет. Вы всегда можете использовать костыли, которые будут перебрасывать вас на внешний сайт, но согласитесь это не нужная двойная работа, либо внутри сети использовать имя сайта начинающееся с www, либо снаружи.

3. Имя домена из одного слова

Пожалуй самый не правильный вариант из приведенных выше. Одноуровневые домены: Single-label domain — это домен, который содержит только одну составляющую. По всей видимости их начали использовать во времена NT, когда компания Microsoft переняла удачный опыт компании Novell. Так сложилось, что изначально я был администратором FreeBSD и большого парка серверов NetWare начиная с версии 4.11, так вот в те стародавние времена NetWare использовала в своей работе Bindery, которая как раз имена схему одноуровнего домена, которую потом и переняла компания Microsoft.

Best practices

Пора подвести итог. Какое же именование домена использовать? Только домен третьего уровня в домене которым вы владеете. Не стоит использовать чужие более красивые доменные имена :-). Пример такого домена вы можете увидеть ниже: