web-dev-qa-db-fra.com

Nommer une nouvelle forêt Active Directory - Pourquoi Split-Horizon DNS n'est-il pas recommandé?

espérons-le , nous tous savent Quelles sont les recommandations de nommer une forêt Active Directory sont , et elles sont assez simples. À savoir, il peut être résumé dans une seule phrase.

tilisez un sous-domaine d'un nom de domaine enregistré existant et choisissez-en un qui ne sera pas utilisé à l'extérieur. Par exemple, si je devais incorporer et enregistrer le hopelessn00b.com Domaine, ma forêt annonce interne devrait être nommée internal.hopelessn00b.com ou ad.hopelessn00b.com ou corp.hopelessn00b.com.

Il existe des raisons extrêmement convaincantes pour éviter d'utiliser "faux" TLDS ou noms de domaine à une seule étiquette , mais je passe du mal à trouver des raisons similaires impérieuses pour éviter d'utiliser la racine domaine (hopelessn00b.com) comme nom de domaine et utilisez un sous-domaine tel que corp.hopelessn00b.com au lieu. Vraiment, la seule justification que je peux sembler trouver est que l'accès au site Web externe de l'interne nécessite un A name Enregistrement DNS et en tapant www. Devant le nom du site Web dans un navigateur, qui est joli "meh" en ce qui concerne les problèmes.

Donc, qu'est-ce que je manque? Pourquoi est-ce tellement préférable d'utiliser ad.hopelessn00b.com Comme mon nom de forêt Active Directory sur hopelessn00b.com?

Juste pour le compte rendu, c'est vraiment mon employeur qui a besoin de convaincre - le patron man est colportant, et après m'avoir donné de l'avant pour créer une nouvelle forêt ad nommée corp.hopelessn00b'semployer.com Pour notre réseau interne, il veut coller avec une forêt ad nommée hopelessn00b'semployer.com (la même chose que notre domaine enregistré à l'extérieur). J'espère que je peux avoir une raison ou des raisons impérieuses que la meilleure pratique est la meilleure option, je peux donc le convaincre de cela ... parce que cela semble plus facile que la rage de cesser de fumer et/ou de trouver un nouvel emploi, du moins pour le moment. À l'heure actuelle, "Microsoft Meilleures pratiques" et accessibles à l'interne au site Web public de notre société ne semblent pas la couper et je suis vraiment, Vraiment , Vraiment En espérant que quelqu'un ici a quelque chose de plus convaincant.

domain-name-systemactive-directorybest-practicessplit-dns
23
HopelessN00b

tant de représentant à être eu. viens chez moi précieux.

OK, il est donc assez bien documenté par Microsoft que vous ne devriez pas utiliser Split-Horizon, ni un TLD maquillé comme vous êtes lié à plusieurs reprises (crier à mon blog!). Il y a quelques raisons à cela.

  1. Le problème www vous avez souligné ci-dessus. Ennuyeux, mais pas un disjoncteur de l'affaire.

  2. Il vous oblige à conserver des enregistrements en double pour tous des serveurs d'une face publique qui sont également accessibles en interne, pas seulement www. mail.hopelessnoob.com est un exemple courant. Dans un scénario idéal, vous auriez un réseau de périmètre séparé pour des choses comme mail.hopelessnoob.com ou publicwebservice.hopelessnoob.com. Avec certaines configurations, comme une ASA avec des interfaces internes et externes , vous avez besoin de l'intérieur-intérieur NAT ou DNS SPLIT-HORIZON DNS Quoi qu'il en soit = Mais pour les grandes organisations avec un réseau de périmètre légitime où vos ressources faisant face au Web ne sont pas derrière une coiffure NAT limite - cela provoque un travail inutile.

  3. Imaginez ce scénario - vous êtes hopelessnoob.com interne et extérieurement. Vous avez une corporation avec laquelle vous vous connaissez appelé example.com Et ils font la même chose - divisez l'horizon à l'intérieur de leur annonce et avec leur espace de noms DNS accessible publiquement. Maintenant, vous configurez un VPN de site à site et souhaitez une authentification interne pour que la confiance puisse traverser le tunnel tout en ayant accès à leurs ressources publiques externes pour sortir sur Internet. Il est presque impossible de router de politique incroyablement compliqué ou de détention de votre propre copie de leur zone DNS interne - Vous venez de créer un ensemble supplémentaire d'enregistrements DNS à maintenir. Donc, vous devez faire face à la coiffure à votre fin et Leur fin, routage de la politique/NAT et toutes sortes d'autres superchies. (J'étais en fait dans cette situation avec une annonce que j'ai héritée).

  4. Si vous avez déjà déployé DirectAccess , il simplifie considérablement les stratégies de résolution de noms - cela est probablement également vrai pour les autres technologies VPN Split-Tunnel.

Certains d'entre eux sont des cas de bord, certains ne sont pas, mais ils sont tous Facilement évitée. Si vous avez la capacité de le faire depuis le début, cela pourrait aussi bien faire la bonne façon pour que vous ne rencontriez pas dans l'une d'entre elles dans une décennie.

25
MDMarra

Cette déclaration: "Vraiment, la seule justification que je peux sembler trouver est que l'accès au site Web externe à partir d'interne nécessite un enregistrement DNS SRV et de taper www. Devant le nom du site Web dans un navigateur" n'est pas vrai.

Cela signifie que vous devez conserver une copie de tout de vos enregistrements publics dans vos serveurs AD DNS, ce qui pourrait causer des problèmes, en particulier si vous ne le faites pas correctement - manquez certains, etc. si Quelqu'un veut arriver à ftp.company.com mais vous oubliez de créer l'alias dans DNS interne (ou de ne pas l'automatiser correctement), les personnes internes ne peuvent pas atteindre le site FTP public.

Ceci est assez bien éclaté dans la question que vous avez liée à: Windows Active Directory Naming Meilleures pratiques?

Si vous maintenez plusieurs copies de vos zones DNS, c'est un problème facile à résoudre correctement, pour toujours, je suppose que vous pouvez faire ce que vous voulez. Jusqu'à ce que SM change quelque chose qui le brise. Vous pourrait juste suivre leurs recommandations.

8
mfinni

Je ne me soucie pas assez du représentant pour créer une longue réponse aujourd'hui ... donc je vais le garder court.

J'avais l'habitude d'être bien avec Split-DNS et j'étais implémenté plusieurs fois jusqu'à Evan et Mark m'a convaincu autrement. C'est honnêtement que cela ne puisse pas être fait ... cela peut, et certains pourraient bien être bien avec elle (malgré les frais généraux et le travail effectué pour cela).

2 Les choses spécifiques sont venues il y a des années pour moi qui me sont solidifiés sans l'utiliser:

  1. Comme vous l'avez souligné dans votre question, vous ne pouvez tout simplement pas permettre aux utilisateurs internes d'accéder à votre site Web externe via uniquement le nom de domaine. Ne demandez pas pourquoi c'était une si grosse affaire, mais nous avions des utilisateurs internes qui seraient livides qui en tapant uniquement le nom de domaine dans un navigateur sans www _ n'emportaient pas le site Web réel, puisque l'enregistrement de domaine Correspond au domaine d'annonce et n'est pas une prise de capture pour se rendre à www et ne peut pas être interne.
  2. Problèmes d'échange - Exchange AutoDiscover peut ne pas avoir le certificat et demander une erreur. Cela peut arriver à la fois interne et extérieurement. Cela est devenu encore plus évident lorsque nous avons commencé à avoir des "boîtes aux lettres forestières externes" sur notre organisation d'échange et ils n'ont pas vu le même DNS interne que nous l'avions.

J'espère que cela pourra aider.

5
TheCleaner