Правильно называем домен Active Directory

Обновлено 14.02.2017

Правильно называем домен Active Directory

Добрый день уважаемые читатели и подписчики, что то я вам давно не рассказывал про домены Windows, сегодня я это исправлю и мы разберем такую фундаментальную тему, как правильно назвать домен active directory, так как от этого будет дальнейшее, правильное функцианирование ваших сервисов, и вы уменьшите себе количество проблем, которые могли бы возникнуть при неправильном имени доменных служб.

Ошибки в выборе имени Active Directory

Если вы давно читаете мой блог или только присоединились, то я вам напомню про вводную статью введение в Active Directory, там я постарался рассказать, что такое AD и как она работает, а главное из каких компонентов она состоит. Если вы внимательно читали, то знаете, что Active Directory не может работать без DNS серверов.

  • Я уверен, что большинство из вас знают, что DNS имена в интернете строятся по определенному принципу, оно состоит только из цифр, букв, точек и тире (про различные виды записей DNS я не говорю). Пример можно привести Pyatilistnik.org или например есть сайт all-mults.com. Есть стандарт из документа RFC 1123 об именовании доменов, где черным по белому прописано, что в названиях не должны присутствовать вот такие спецсимволы: знак собаки @, тильда ~, знак номера #, слэш / и \, нижнее подчеркивание, если вы по своему незнанию в качестве доменного имени выбрали, что то содержащее нижнее подчеркивание, то у вас например будут большие проблемы с почтовым сервером MS Exchange. Если бы не было стандартов, был бы хаос.
  • В качестве локальных имен Active Directory, люди выбирают внешние адреса, точнее имена второго уровня. Простой пример, у меня допустим есть предприятие Pyatilistnik.inc и администратор решил установить контроллер Active Directory и создать доменную структуру, но в качестве локального имени для него он взял pyatilistnik.org, теперь представьте, что ему теперь нужно развернуть веб сайт pyatilistnik.org. Представьте какой хаос начнется, когда людям нужно будет до него достучаться из локальной сети, будет конфликт с именем AD, вам чтобы решить проблему придется держать и внешнюю зону DNS и внутреннюю, что не удобно и приведет к ошибкам. Ниже я расскажу как правильно назвать домен active directory
  • Имена зон не входящие в глобальный официально зарегистрированный реестр ICANN. Примерами может служить зоны .local или например .nn, хотя я уверен, что и до них дойдет стандарт, так как данной организации выгодно делать деньги из воздуха, продавая имена, каких сейчас доменов уже не встретишь, но речь сегодня не об этом. Эти имена не правильно использовать в Activer Directory, так как их нельзя будет использовать за пределами вашей конторы, нельзя будет выпустить ssl сертификат на домен.

Хотя если вы делаете это в тестовой среде, то можно

  • Disjoint Namespace > бывают ситуации, когда DNS имя контроллера домена или компьютера не совпадают с его NETBIOS именем, например если бы у меня контроллер имел NETBIOS имя dc6, а доменное dc.pyatilistnik.org. Такие конструкции работоспособны и могут быть при слиянии предприятий, но при Disjoint Namespace могут быть и грабли с тем же MS Exchenge. Ниже пример совпадения и NETBIOS и DNS имени.

как правильно назвать домен active directory-1

Как правильно назвать домен active directory

Как неправильно делать мы поняли и знаем, сделаем теперь все красиво, сразу повторюсь, что если у вас тестовая среда называть AD вы можете как вам захочется, хоть microsoft.com. А если по серьезному, то вернемся к нашей компании Pyatilistnik.inc. Для доменной зоны Active Directory я бы выбрал зону третьего уровня, ad.pyatilistnik.org. Веб сайт компании повесил бы на логичный pyatilistnik.org. Благодаря этому не было бы проблем с MS Exchange сервером. Если у вас несколько филиалов, то я советую вам использовать один лес, пример есть Нижний Новгород и Москва, для Москвы я выбираю ad.pyatilistnik.org, а для НН nn.ad.pyatilistnik.org. Надеюсь вы теперь поняли как лучше и правильнее называть домен Active Directory.

Автор - Сёмин Иван

16 Responses to Правильно называем домен Active Directory

  1. Женя:

    Хорошая статья. Всегда была с этим путаница.

  2. ditrent:

    Хорошая статейка.

  3. Андрей:

    а если вы поднимаете AD, а доменное имя второго уровня еще не зарегистрировано и не известно когда будет регистрироваться. А позже когда все таки приспичит выяснится что оно уже занято кем то. Получится приплыли..

  4. Иван Семин:

    Для этого и нужно планирование.

  5. Кирилл:

    Да правильное планирование сильно уменьшает количество будущих проблем и ошибок.

  6. Евгений:

    Да уж мой случай…. получил в наследие тратата.local

    Теперь вот проблема с ssl сертификатом…. и переименовать не могу…..

  7. Дмитрий:

    Перешел на новую работу, начальство озадачилось проблемой не соответствия названия домена Active Directory с названием компании. Создали новый домен в соответствии с названием компании, переехали и через пару дней выяснилось что никто не может зайти на сайт компании расположенный в интернете, так как новый домен был назван в точном соответствии с доменом расположенным в интернете о существовании которого я не знал.

    Что мы можете посоветовать в этом случаи? Как правильно поступить переименовать домен AD или …

    Очень прошу помочь советом.

  8. Иван Семин:

    Вам нужно делать split brane на DNS, в локальной зоне держать свой и ссылаться им на локальные ресурсы, а вот для внешних обращений уже внешние IP, минус в том, что придется поддерживать и актуализировать обе зоны

  9. Дмитрий:

    Честно говоря я не понимаю как это реализовать. Первый раз сталкиваюсь с данной проблемой. Не могли бы вы более подробно рассказать как это сделать, либо написать статью.

    Очень жаль что не возможно с вами связаться вне данного сайта.
    Прошу не публиковать данный пост.

    Заранее спасибо за понимание.

  10. Иван Семин:

    Можете в контактах найти мои соц сети, попробую разъяснить.

  11. Михаил:

    В днс на контроллере домена создается А-запись с внешним ip адресом

  12. Антон:

    А если есть 2 домена в одно сети?

    domain1.com
    domain2.com

    можно ли оба AD назвать corp?

  13. Иван Семин:

    Нужно больше подробностей, один лес или нет?

  14. Петр:

    имеется доменное имя в зоне рф, можно ли присвоить имя домену вида corp.домен.рф? в официальной документации указывается только использование A – Z, a – z, 0-9 символов для префикса, а для именования суффикса таких уточнений нет.

  15. Владимир:

    У Вас имя корневого домена pyatilistnik.org — это лес, имя домена ad.pyatilistnik.org, имя второго домена hh.pyatilistnik.org в этом же лесу. Вопрос, зачем городить 4й уровень hh.ad.pyatilistnik.org?

  16. Иван Семин:

    Ну например вы захотите вынести принтеры в отдельный домен, или какую-то орг структуру, хотя правильнее все же использовать верхнеуровневый домен для серверного сегмента, и клиентский на уровень ниже, далее разбивать на подразделения.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *