सवाल विंडोज सक्रिय निर्देशिका नामकरण सर्वोत्तम प्रथाओं?


यह है एक कैननिकल प्रश्न सक्रिय निर्देशिका डोमेन नामकरण के बारे में।

वर्चुअल वातावरण में विंडोज डोमेन और डोमेन नियंत्रकों के साथ प्रयोग करने के बाद, मुझे एहसास हुआ है कि एक DNS डोमेन के समान नामक एक सक्रिय निर्देशिका डोमेन खराब विचार है (मतलब है कि example.com एक सक्रिय निर्देशिका नाम के रूप में हमारे पास कोई अच्छा नहीं है example.com हमारी वेबसाइट के रूप में उपयोग के लिए पंजीकृत डोमेन नाम)।

यह संबंधित प्रश्न उस निष्कर्ष का समर्थन करता प्रतीत होता है, लेकिन मुझे अभी भी यकीन नहीं है कि सक्रिय निर्देशिका डोमेन नामकरण के आसपास अन्य नियम क्या हैं।

क्या कोई सक्रिय निर्देशिका नाम क्या होना चाहिए या नहीं होना चाहिए?


80
2017-10-21 13:10


मूल




जवाब:


सर्वर फॉल्ट पर चर्चा का यह एक मजेदार विषय रहा है। इस विषय पर अलग-अलग "धार्मिक विचार" दिखाई देते हैं।

मैं माइक्रोसॉफ्ट की सिफारिश से सहमत हूं: कंपनी के पहले से पंजीकृत इंटरनेट डोमेन नाम के उप-डोमेन का उपयोग करें।

तो, यदि आप के मालिक हैं foo.com, उपयोग ad.foo.com या कुछ ऐसे।

सबसे खराब चीज, जैसा कि मैंने इसे देखा है, सक्रिय निर्देशिका डोमेन नाम के लिए पंजीकृत इंटरनेट डोमेन नाम, verbatim का उपयोग कर रहा है। इससे आपको इंटरनेट DNS से ​​रिकॉर्ड मैन्युअल रूप से कॉपी करने के लिए मजबूर होना पड़ता है (जैसे www) "बाहरी" नामों को हल करने की अनुमति देने के लिए सक्रिय निर्देशिका DNS ज़ोन में। मैंने एक डीसी पर स्थापित एक संगठन में प्रत्येक डीसी पर स्थापित आईआईएस जैसे पूरी तरह मूर्खतापूर्ण चीजें देखी हैं जो एक रीडायरेक्ट करता है जैसे कोई प्रवेश करता है foo.com उनके ब्राउज़र में रीडायरेक्ट किया जाएगा www.foo.com इन आईआईएस प्रतिष्ठानों द्वारा। उदारता!

इंटरनेट डोमेन नाम का उपयोग करने से आपको कोई लाभ नहीं मिलता है, लेकिन जब भी आप बाहरी होस्ट नामों का संदर्भ लेते हैं तो आईपी पते बदलते समय "काम करें" बनाता है। (बाहरी मेजबानों के लिए भौगोलिक रूप से लोड-संतुलित DNS का उपयोग करने का प्रयास करें और इसे "विभाजित DNS" स्थिति के साथ एकीकृत करें! जी - यह मजेदार होगा ...)

ऐसे सबडोमेन का उपयोग एक्सचेंज ईमेल डिलीवरी या यूजर प्रिंसिपल नेम (यूपीएन) प्रत्यय, बीटीडब्ल्यू जैसी चीजों पर कोई प्रभाव नहीं पड़ता है। (मैं अक्सर उन दोनों को इंटरनेट डोमेन नाम का उपयोग एडी डोमेन नाम के रूप में करने के लिए बहाने के रूप में उद्धृत करता हूं।)

मैं बहाना भी देखता हूं "बहुत सारी बड़ी कंपनियां इसे करती हैं"। बड़ी कंपनियां छोटी कंपनियों की तुलना में आसानी से (यदि मोरसो नहीं) के रूप में बोनहेड किए गए फैसले कर सकती हैं। मैं इसे इसलिए नहीं खरीदता क्योंकि एक बड़ी कंपनी एक बुरा निर्णय लेती है कि किसी भी तरह से यह एक अच्छा निर्णय लेने का कारण बनती है।


94
2017-10-21 13:16



लेकिन फिर डोमेन का नेटबीओएसओ नाम नहीं है ... अच्छा, सुंदर :) corp के रूप में वर्णनात्मक नहीं है foo। - Anton Gogolev
हालांकि, आप जो नेटबीओएसओ नाम चाहते हैं उसे असाइन कर सकते हैं। मेरे कई ग्राहकों के पास "ad.example.com" जैसे नाम हैं, लेकिन नेटबीओएसओ नाम "उदाहरण" है। डीसीपीरोमो आपको डोमेन के निर्माण के दौरान नेटबीओएसओ नाम के बारे में बताएगा। - Evan Anderson
यदि आप वाइल्डकार्ड वाले डोमेन वाले समस्याओं के लिए यह देखते हैं। जब आपके पास * .foo.com है, तो host.internal.foo.com कुछ स्थितियों में इसका मिलान करेगा - JamesRyan
मुझे किसी भी ईमेल सर्वर उत्पाद से अवगत नहीं है जिसके लिए आपको एडी डोमेन नाम का उपयोग उपयोगकर्ताओं के ईमेल पते प्रत्यय के रूप में करना होगा। एक्सचेंज है कभी नहीँ एडी डोमेन नाम और ईमेल पता प्रत्यय के बीच किसी तरह का सहसंबंध की आवश्यकता है। - Evan Anderson
Office365 केवल तभी आवश्यक है कि आपके उपयोगकर्ता अपने यूपीएन के साथ अपने किरायेदार डोमेन से मेल खाने वाले प्रत्यय के साथ लॉगऑन करें। चूंकि डिफ़ॉल्ट एक्सचेंज मेलबॉक्स पता नीति को कुछ भी परिभाषित किया जा सकता है, जैसा कि आपका यूपीएन प्रत्यय हो सकता है, यह मामूली है। हमारे पास EXAMPLE.COM है हमारी कंपनी का नाम (और Office365 में किरायेदार), EXAMPLE.NET (भी पंजीकृत) जंगल के रूप में, CORP.EXAMPLE.NET प्राथमिक खाता डोमेन के रूप में (अन्य क्षेत्रीय उप-डोमेन, जैसे EU.EXAMPLE के साथ। नेट) नेटबीओएसओ नाम के रूप में उदाहरण के साथ, वन एक्सचेंज संगठन में सभी उपयोगकर्ता यूपीएन के लिए नाम ईमेल और ईमेल के लिए नाम @EXAMPLE.COM का उपयोग करते हैं। Office365 इसके साथ पूरी तरह से खुश है। - Ryan Fisher


इस प्रश्न के केवल दो सही उत्तर हैं।

  1. एक डोमेन का एक अप्रयुक्त उप-डोमेन जिसे आप सार्वजनिक रूप से उपयोग करते हैं। उदाहरण के लिए, यदि आपकी सार्वजनिक वेब उपस्थिति है example.com आपके आंतरिक एडी को कुछ ऐसा नाम दिया जा सकता है ad.example.com या internal.example.com

  2. एक अप्रयुक्त द्वितीय स्तर का डोमेन कि आप के मालिक हैं और कहीं और उपयोग नहीं करते हैं। उदाहरण के लिए, यदि आपकी सार्वजनिक वेब उपस्थिति है example.com आपके एडी का नाम हो सकता है example.net  जब तक आप पंजीकृत हैं example.net और कहीं और इसका उपयोग न करें!

ये आपके केवल दो विकल्प हैं। यदि आप कुछ और करते हैं, तो आप अपने आप को बहुत दर्द और पीड़ा के लिए खुले छोड़ रहे हैं।


लेकिन हर कोई का उपयोग करता है। लोकल!
कोई फर्क नहीं पड़ता। आपको नहीं करना चाहिए मैंने .local और अन्य बनाया गया TLDs जैसे .lan और .corp के उपयोग के बारे में ब्लॉग किया है। किसी भी परिस्थिति में आप कभी ऐसा नहीं करना चाहिए।

यह अधिक सुरक्षित नहीं है। यह कुछ लोगों के दावे की तरह "सर्वोत्तम प्रथाओं" नहीं है। और यह नहीं है कोई भी मैंने प्रस्तावित दो विकल्पों पर लाभ उठाया है।

लेकिन मैं इसे अपनी सार्वजनिक वेबसाइट के यूआरएल के समान नाम देना चाहता हूं ताकि मेरे उपयोगकर्ता हैं example\user के बजाय ad\user
यह एक वैध, लेकिन गुमराह चिंता है। जब आप किसी डोमेन में पहले डीसी को बढ़ावा देते हैं, तो आप डोमेन के नेटबीओएसओ नाम को जो कुछ भी चाहते हैं उसे सेट कर सकते हैं। यदि आप मेरी सलाह का पालन करते हैं और अपना डोमेन सेट अप करते हैं ad.example.com, आप डोमेन के नेटबीओएसओ नाम को कॉन्फ़िगर कर सकते हैं example ताकि आपके उपयोगकर्ता लॉग ऑन करेंगे example\user

सक्रिय निर्देशिका वन और ट्रस्ट में, आप अतिरिक्त यूपीएन प्रत्यय भी बना सकते हैं। आपके डोमेन के सभी खातों के लिए प्राथमिक यूपीएन प्रत्यय के रूप में @ example.com बनाने और सेट करने से आपको कुछ भी नहीं रोक रहा है। जब आप इसे पिछले नेटबीओएसओ सिफारिश के साथ जोड़ते हैं, तो कोई अंतिम उपयोगकर्ता कभी नहीं देख पाएगा कि आपके डोमेन का FQDN है ad.example.com। जो कुछ भी वे देखते हैं वह होगा example\ या @example.com। एफक्यूडीएन के साथ काम करने की आवश्यकता वाले एकमात्र लोग सिस्टम प्रशासक हैं जो सक्रिय निर्देशिका के साथ काम करते हैं।

साथ ही, मान लीजिए कि आप एक स्प्लिट-क्षितिज DNS नेमस्पेस का उपयोग करते हैं, जिसका अर्थ है कि आपका एडी नाम आपकी सार्वजनिक-मुखौटा वेबसाइट जैसा ही है। अब, आपके उपयोगकर्ता नहीं मिल सकते हैं example.com आंतरिक रूप से जब तक कि आप उन्हें उपसर्ग नहीं है www. अपने ब्राउज़र में या आप अपने सभी डोमेन नियंत्रकों पर आईआईएस चलाते हैं (यह बुरा है)। आपको भी क्यूरेट करना होगा दो गैर-समान DNS ज़ोन जो एक अलग नामस्थान साझा करते हैं। यह वास्तव में इसके लायक से अधिक परेशानी है। अब कल्पना करें कि आपके पास दूसरी कंपनी के साथ साझेदारी है और उनके पास उनके एडी और उनकी बाहरी उपस्थिति के साथ एक विभाजित क्षितिज DNS कॉन्फ़िगरेशन भी है। आपके पास दोनों के बीच एक निजी फाइबर लिंक है और आपको विश्वास बनाने की आवश्यकता है। अब, आपकी किसी भी सार्वजनिक साइट पर आपके सभी ट्रैफ़िक को इंटरनेट पर जाने के बजाए निजी लिंक को पार करना होगा। यह दोनों पक्षों के नेटवर्क प्रशासकों के लिए सभी प्रकार के सिरदर्द भी बनाता है। इससे बचें मुझ पर विश्वास करो।

लेकिन लेकिन ...
गंभीरता से, मेरे द्वारा सुझाए गए दो कार्यों में से एक का उपयोग न करने का कोई कारण नहीं है। किसी भी अन्य तरीके से नुकसान है। मैं आपको अपने डोमेन नाम को बदलने के लिए नहीं कह रहा हूं अगर यह काम कर रहा है और जगह पर है, लेकिन यदि आप एक नया एडी बना रहे हैं, तो मैंने दो चीजों में से एक को ऊपर की सिफारिश की है।


87
2018-01-29 16:18



एक छोटा सा बिंदु - कोई भी रीडायरेक्ट की सेवा के लिए आईआईएस की तुलना में बहुत छोटा, तेज़ और सुरक्षित उपयोग कर सकता है। यहां तक ​​कि हैप्रोक्सी या nginx शायद ओवरकिल हैं - अकेले एक पूर्ण-विशेषीकृत सर्वर जैसे apache2 दें। - OrangeDog
यह सच है, लेकिन सब उसमें मैला और अनावश्यक है। - MDMarra
Uuuuw हाँ, यह बहुत दर्दनाक था जब किसी ने अचानक डोमेन local.net पंजीकृत किया और सभी प्रिंटर जो चुपचाप उस तारीख से पहले NXDOMAIN मिला, अचानक जवाब नहीं दिया। वह कुछ मजाकिया जांच थी ... - Johannes
क्या मैं बस ध्यान दे सकता हूं। लोकल "बनाया गया" नहीं है, यह वास्तव में आरक्षित है; इस प्रकार के उपयोग के लिए नहीं: en.wikipedia.org/wiki/.local - mikebabcock
जब यह लिखा गया था, यह आरक्षित नहीं था। - MDMarra


एमडीएमरा के जवाब में सहायता के लिए:

तुम्हे करना चाहिए कभी भी एक लेबल लेबल नाम का उपयोग न करें आपके डोमेन नाम के लिए या तो। यह विंडोज 2008 आर 2 से पहले उपलब्ध था / उपलब्ध है। कारण / स्पष्टीकरण यहां पाए जा सकते हैं: एकल निर्देशिका DNS नामों का उपयोग कर कॉन्फ़िगर किए गए सक्रिय निर्देशिका डोमेन की परिनियोजन और संचालन माइक्रोसॉफ्ट समर्थन

आरक्षित शब्दों का उपयोग न करें (इस पोस्ट के नीचे "नामकरण सम्मेलन" लिंक में एक तालिका शामिल है), जैसे सिस्टम या वर्ल्ड या प्रतिबंधित।

मैं माइक्रोसॉफ्ट के साथ भी सहमत हूं कि आपको दो अतिरिक्त नियमों का पालन करना चाहिए (जो पत्थर में सेट नहीं हैं, लेकिन फिर भी):

  1. आपको उस डोमेन के आधार पर अपना डोमेन नाम नहीं देना चाहिए जो बदल जाएगा या पुराना हो जाएगा। उदाहरणों में उत्पाद लाइन, ऑपरेटिंग सिस्टम या समय के साथ बदलने की संभावना होने के बाद आपके डोमेन का नामकरण शामिल है। सड़क के नीचे 5 या 10 साल तक समझने के लिए भौगोलिक या कंक्रीट के साथ कुछ चिपकाएं।
  2. 15 वर्णों या उससे कम के छोटे नामों के साथ चिपके रहें, इससे नेटबीओएसओ नाम आसानी से डोमेन नाम के समान ही हो जाएगा।

अंत में, मैं अनुशंसा करता हूं कि आप जितना संभव हो उतना दीर्घकालिक सोचें। कंपनियां विलय और अधिग्रहण, यहां तक ​​कि छोटी कंपनियों के माध्यम से भी जाती हैं। बाहरी सहायता / परामर्श पाने के मामले में भी सोचें। डोमेन नाम, एडी संरचना इत्यादि का प्रयोग करें जो बिना किसी प्रयास के सलाहकारों या एसएफ पर लोगों को समझाएगा।

ज्ञान लिंक:

http://technet.microsoft.com/en-us/library/cc731265%28v=ws.10%29.aspx

http://support.microsoft.com/kb/909264

http://support.microsoft.com/kb/300684/en-us

मूल वन डोमेन नाम के लिए माइक्रोसॉफ्ट के वर्तमान (W2k12) अनुशंसा पृष्ठ


33
2018-01-29 16:35





मैं उपयोग करने से असहमत हूं:

  • example.com - अन्य उत्तरों में पहले से बताए गए कारणों के लिए

मैं इसका उपयोग कर स्वीकार कर सकता था:

  • ad.example.com - - अन्य उत्तरों में पहले से बताए गए कारणों के लिए

लेकिन मैं इसे खुद नहीं करूँगा या इसकी सिफारिश नहीं करूंगा। कंपनी अधिग्रहण के दौरान, सभी नरक तोड़ने को तोड़ने से विशेष रूप से जब उस बिंदु पर प्रबंधन चीजों को तुरंत बदलना चाहता है। माइग्रेशन का नाम बदलना, परिवर्तन बहुत कठिन या महंगी हैं।

सबसे अच्छा तरीका है कि मैं अनुशंसा करता हूं कि वह डोमेन खरीदने के लिए जो कंपनी के नाम के लिए अप्रासंगिक है और कंपनी के ब्रांड के लिए अप्रासंगिक भी है। SIMPLE.CLOUD या इसी तरह ठीक करना चाहिए जब तक आप इसका स्वामित्व कर सकें। 

मैंने एडी का उपयोग करके 150k उपयोगकर्ताओं के साथ बड़ी कंपनियों को देखा है जो अभी भी पुरानी कंपनी को संदर्भित कर रहे हैं, जिन्हें उन्होंने कई साल पहले खरीदा था, या जिन कंपनियों ने नाम बदल दिए थे और भले ही यह लंबे समय तक कोई फर्क नहीं पड़ता कि आप \ login का उपयोग कर रहे हैं (यदि आप नहीं कर सकते यूपीएन का उपयोग करें) यह अभी भी प्रबंधन के सामने खराब दिखता है जो समझ में नहीं आता कि इसे बदलने के लिए मुश्किल क्यों नहीं है।


1
2017-10-27 15:33





मैं हमेशा करता हॅू mydomain.local

local वैध टीएलडी नहीं है, इसलिए यह कभी भी वास्तविक सार्वजनिक DNS प्रविष्टि के साथ प्रतिस्पर्धा नहीं करता है।

उदाहरण के लिए, मुझे यह जानने में सक्षम होना पसंद है web1.mydomain.local जबकि वेब सर्वर के आंतरिक आईपी को हल करेंगे web1.mydomain.com बाहरी आईपी को हल करेंगे।


-14
2017-09-23 20:03



Fwiw, .local जड़ एल-सर्वर पर सवाल हथौड़ा - ~ 800 / सेकंड जब मैंने देखा। - jscott
dot.Local, AKA dot.Fail - PnP
एक अवैध टीएलडी (या एक अपंजीकृत डोमेन) का उपयोग करना सबसे अच्छा अभ्यास नहीं है, ऊपर वर्णित सभी कारणों के लिए यह सबसे खराब अभ्यास है। मैं स्वीकार करूंगा कि मैंने उपयोग किया है। लोकल, लेकिन इससे पहले कि मैं बेहतर जानता था। - Jonathan J