Рекомендации по именованию доменов Active Directory
Неважно, являетесь ли вы новым или опытным администратором, когда вам нужно создать новый домен Active Directory, первым вопросом будет: какое мы должны использовать для доменного имени? В этой статье мы обсудим некоторые ключевые моменты для сетевого администратора, планирующего развертывание продуктов Microsoft, таких как Exchange или Skype для бизнеса, в корпоративной среде.
У вас есть три варианта:
- Вариант 1. Используйте действительный TLD (домен верхнего уровня, также известный как маршрутизируемый домен), зарегистрированный для вашей компании. Некоторыми примерами этого являются company.ca или company.com;
- Вариант 2. Используйте поддомен действительного TLD, зарегистрированного для вашей компании. Некоторые примеры включают corp.company.ca, ad.company.ca и т. д.
- Вариант 3. Используйте имя, отличное от TLD (или немаршрутизируемый домен). Например, вы можете использовать domain.local, domain.int или domain.corp.
В этой статье мы собираемся обсудить несколько моментов, в которых имя Active Directory повлияет на вашу производственную среду. На основе этих наблюдений вы можете решить, какое решение является лучшим для вашей будущей среды.
Основные соглашения об именах доменов Active Directory
Когда мы создаем первый контроллер домена для новой Active Directory, мы создаем первый домен, но также создаем лес, который является границей безопасности для организации. Можно добавить несколько доменов, чтобы облегчить репликацию в лесу. Лес может быть простым, как лес с одним доменом, но также может иметь несколько деревьев с поддоменами.
При развертывании первого домена/леса у администратора есть возможность определить имя для этого леса. Это простое решение, которым иногда можно пренебречь, но которое может иметь несколько последствий для будущего организации. Имейте в виду, что имя NetBIOS может быть определено как часть того же процесса развертывания Active Directory, и оно не обязательно должно быть строкой начала домена (особенно для Варианта 3 ), где может иметь Например, NetBIOS Corporate.
Регистрация домена
Неважно, какой вариант выберет администратор, но одно можно сказать наверняка: общественное достояние должно быть зарегистрировано на имя вашей компании. Это ваш первый и самый важный шаг к созданию прочной и надежной основы для вашей среды.
В зависимости от размера вашей компании и ее потенциального роста вы должны планировать настройку инфраструктуры Active Directory с учетом будущего. Например, допустим, моя компания — , и мы работаем только в Канаде, но планируем открыть офисы по всему миру. В этом случае интересно купить общедоступные домены во всех странах, и я бы сделал еще один шаг и порекомендовал бы один домен в качестве домена по умолчанию (возможно,.com).
Публичные сертификаты
Все общедоступные центры сертификации не принимают имена, отличные от TLD ( вариант 3 ), или имена NetBIOS в своих сертификатах, что вынуждает сетевого администратора использовать разделенный DNS при работе с сервером Exchange (Skype для бизнеса также требует разделенного DNS, но разрешает внутренние PKI для сертификата сервера). Это означает, что во внутренней сети будет создана зона DNS с тем же именем, что и у зоны Public DNS, и внутренние клиенты будут разрешать записи, перечисленные на их внутренних DNS-серверах, с этими записями, указывающими на локальный сервер. Это также упрощает дизайн, когда мы используем одно и то же имя для службы для внутренних и внешних пользователей.
С точки зрения общедоступного сертификата вариантов не так много. Администратор должен использовать зарегистрированный домен для запроса сертификата и размещения служб для использования такого домена (например, Patricio.com).
Службы доменных имен (DNS) и дизайн разрешения имен
DNS — это основная служба для Active Directory и ключ для всех других продуктов Microsoft. На предыдущем шаге мы приобрели наши общедоступные домены (действующий домен верхнего уровня), и большинство интернет-регистраторов предоставляют консоль общедоступного DNS для управления доменом. Как администраторы, мы можем переместить этот домен к поставщику DNS, который специализируется на управлении зонами DNS, или даже перейти к Microsoft Azure/Office 365.
Все конфигурации (записи DNS), созданные в общедоступном DNS, будут доступны в Интернете и для пользователей, находящихся за пределами внутренней сети. В общедоступном DNS администратор настроит параметры для получения электронной почты из Интернета (записи MX) и служб клиентского доступа для веб-приложений, Skype для бизнеса, веб-почты и т. д.
В конце концов, администраторы хотят сделать работу конечного пользователя проще и максимально прозрачной, когда пользователь находится либо в интрасети, либо в Интернете. Лучший способ добиться этого — использовать одно имя для службы (служб) в обоих местах. Например, в качестве URL-адреса веб-почты для наших конечных пользователей намного лучше, чем пытаться объяснить им, что они должны использовать ( вариант 2 ) или ( вариант 3). ), когда они внутри сети, верно?
Для простоты требуется использование разделенного DNS. При использовании Варианта 1 это будет происходить автоматически, поскольку зона Active Directory будет иметь то же имя, что и общедоступный DNS. При использовании Варианта 2 или Варианта 3 требуется создание новой зоны (выделено на изображении). Мы видим DNS и дополнительную зону с разделенным мозгом, созданную на основе приведенного ниже сценария.
Основываясь на дизайне Microsoft некоторых технологий (например, Skype для бизнеса и Exchange), использование DNS с разделенным мозгом почти обязательно (у нас есть некоторые обходные пути, такие как зоны точного определения. Товарищ MVP Стив Гудман написал, как их настроить здесь).
Microsoft Exchange: обслуживаемые домены и политики адресов электронной почты
При развертывании первого сервера Exchange, который подготавливает организацию Exchange, в рамках этого процесса существующий домен Active Directory будет первым SMTP-адресом организации. Если мы используем действующий TLD (вариант 1), то нет необходимости создавать обслуживаемые домены, настраивать политики адресов электронной почты и т. д. Все будет настроено автоматически, и все новые почтовые ящики получат правильный SMTP-адрес без изменений. Ниже домен Active Directory был создан как , и Exchange выбрал его в качестве домена по умолчанию для обслуживаемых доменов, что также является частью политики адресов электронной почты.
При использовании вариантов 2 и 3 вам потребуется добавить новый обслуживаемый домен, затем изменить политики адресов электронной почты для использования этого нового домена и, наконец, удалить домен по умолчанию, созданный для поддержания чистоты.
Microsoft Azure и имя участника-пользователя (UPN)
При синхронизации каталогов между локальным каталогом и Microsoft Azure Active Directory (AAD) администратор должен проверить общедоступный домен в Microsoft Azure, и на основании этого все учетные записи, в имени участника-пользователя которых указан тот же домен, будут синхронизированы с Azure Active Directory..
В прошлом стандартом была аутентификация с использованием ДОМЕНимя пользователя, и она до сих пор работает для внутренних приложений. Однако наличие SaaS (программное обеспечение как услуга) и федерации Active Directory требует, чтобы вы использовали формат имени участника-пользователя, что-то вроде [защищенная электронная почта]. Такой же формат рекомендуется при входе в клиент Windows, Skype для бизнеса и Exchange ( при использовании мобильного Outlook). При синхронизации с Microsoft Azure Active Directory имя участника-пользователя должно совпадать с доменом в Microsoft Azure.
При использовании Варианта 1 дополнительных изменений в конфигурации нет, поскольку UPN по умолчанию будет текущим доменом или именем корневого домена. При использовании Варианта 2 или Варианта 3 администратор должен добавить действительный домен в и после этого убедиться, что все пользователи используют действительный UPN в своих свойствах пользователя.
Собираем все вместе
Предположим, мы регистрируем домен для нашей компании. При построении Active Directory, исходя из обсуждаемых вариантов, для каждого варианта необходимо учитывать эти элементы.
| Вариант 1: patricio.com | Вариант 2: ad.patricio.com | Вариант 3: patricio.local | |
|---|---|---|---|
| Зарегистрируйте общественное достояние | Необходимый. Зарегистрировал домен Patricio.com. | Необходимый. Зарегистрировал домен Patricio.com. | Необходимый. Зарегистрировал домен Patricio.com. |
| Разделенный DNS | Автоматический. Дополнительная настройка не требуется. | DNS-зона Patricio.com должна быть создана в активном каталоге. | Зона DNS Patricio.com должна быть создана в Active Directory. |
| Публичные сертификаты | Необходимый. Он будет использовать общедоступное имя. | Необходимый. Он будет использовать общедоступное имя. | Необходимый. Он будет использовать общедоступное имя.* |
| Обслуживаемые домены Exchange и политики адресов электронной почты | Автоматический. Дополнительная настройка не требуется. | Требуется новый обслуживаемый домен, изменение политики адресов электронной почты и удаление принятого по умолчанию домена. | Требуется новый обслуживаемый домен, изменение политики адресов электронной почты и удаление принятого по умолчанию домена. |
| Имя участника-пользователя Active Directory | Автоматический. Дополнительная настройка не требуется. | Необходимо добавить новое имя участника-пользователя и настроить всех пользователей на использование этого нового имени участника-пользователя. | Необходимо добавить новое имя участника-пользователя и настроить всех пользователей на использование этого нового имени участника-пользователя. |
* Ну это не обязательно; однако настоятельно рекомендуется использовать общедоступный сертификат в развертываниях Exchange/Skype для бизнеса.
Администратору, создающему новую Active Directory, следует обратить внимание на вариант 1 и вариант 2. Лично я предпочитаю вариант 1, потому что он упрощает работу в будущем. Вариант 2 выполним, но он требует дополнительных изменений в среде, чтобы заставить его работать, и из списка дел он почти такой же, как вариант 3.
Вывод этой статьи состоит в том, чтобы убедиться, что вы зарегистрировали свой домен, а затем убедиться, что вы настроили Active Directory для работы с выбранным вами решением и планируете заставить его работать со всеми другими продуктами (общедоступными и внутренними DNS, сертификатами, Microsoft Azure, Exchange, Skype для бизнеса и т. д.).
Что еще вы считаете важным при выборе имени Active Directory? Пожалуйста, не стесняйтесь поделиться своими комментариями с нами.