Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Имя корневого домена

blog.eaglenn.ru | Заметки IT инженера

Microsoft, Linux, Lync и etc……

Выбор имени домена Active Directory

Введение

Вчера, к нам в студию, поступило письмо от нашего постоянного читателя Андрея, с вопросом:

С удовольствием читаю ваш блог, много полезного для себя узнал, хотел узнать ваше мнение по поводу имени домена Active Directory, многие пишут что называть стоит его *организация*.local, а кто-то пишет что стоит назвать так-же как и домен.

Давайте кратко разберемся какое же лучше использовать имя при наименовании домена внутри организации.

Как показывает практика выбор имени домена может поставить в ступор даже опытного системного администратора. При первом запуске утилиты dcpromo имя домена будет сгенерировано автоматически и случайным образом, если уже на этом этапе не привести имя домена в соответствие необходимым правилам, то в будущем изменить имя домена будет сложнее. Давайте рассмотрим возможные варианты в порядке их популярности.

1. Домен с именем example.local

Лидером нашего хит-парада является именование домена с окончанием на local. Существуют и другие вариации на эту тему, например test, firma, factory, nn, loc, и так далее. Сейчас даже уже и не вспомнишь откуда пошла такая любовь, во всех своих книгах компания Microsoft всегда использует свои именование вида contoso.com, где мы четко видим формат именования домена. Однако на протяжении почти 10 лет домен .local занимал лидирующие позиции. Ситуация стала выравниваться с приходом сервисов использующих в своей работе SSL сертификаты. Где использование доменов «пофиг и так сойдет» становится не возможным. Смотрите, предположим, что ваша компания использует внутри организации Exchange server, которому необходим ssl сертификат для шифрования клиентских подключений. Согласно вашему сценарию для реализации этой задачи вам необходим сертификат внешнего центра сертификации, в котором необходимо указать все имена серверов используемых для внешнего подключения. Казалось бы что такого, записываем все имена серверов и подаем заявку на выпуск сертификатов, но есть одно но. С именем такого домена вы не сможете пройти валидацию, так как домен «пофиг и так сойдет» не существует и на попытку объяснить внешнему центру сертификации, что вам в SAN нужно засунуть FQDN имя не существующего домена получите мягкий отказ:

It’s not possible, we issue only certificates for real domain names.

Но существует еще одна неприятность. Использование доменного имени не принадлежащего вам в имени домена может привести к плачевным последствиям. Представьте ситуацию если зона local будет иметь статус публичной. Как зона com или ru. Дальше я думаю продолжать не стоит

2. Имя домена совпадает с внешним именем домена

Второе место нашего хит-парада. Не смотря на то, что такой сценарий является менее популярным, он все же имеет право на жизнь. Кроме того, что в ближайшем будущем вы все же получите некоторые неудобства при обслуживании сети, больше вам ничего не угрожает. Основной проблемой в этом сценарии будет то, что вам придется поддерживать два DNS сервера: внутренний и внешний. При таком условии компьютеры находящиеся внутри сети будут использовать для разрешения имен внутренний DNS сервер, а компьютера за периметром компании внешний. Предположим ваш домен носит гордое название example.com. В DMZ зоне у вас находится сайт компании с именем example.com. В описанном сценарии выше компьютеры находящиеся внутри организации не смогут получить к нему доступ ввиду того что для них example.com это имя домена и при вводе этого адреса в браузере они будут попадать на контроллер домена. Как я уже отметил выше кроме неудобства это ни к чему не приведет. Вы всегда можете использовать костыли, которые будут перебрасывать вас на внешний сайт, но согласитесь это не нужная двойная работа, либо внутри сети использовать имя сайта начинающееся с www, либо снаружи.

3. Имя домена из одного слова

Пожалуй самый не правильный вариант из приведенных выше. Одноуровневые домены: Single-label domain — это домен, который содержит только одну составляющую. По всей видимости их начали использовать во времена NT, когда компания Microsoft переняла удачный опыт компании Novell. Так сложилось, что изначально я был администратором FreeBSD и большого парка серверов NetWare начиная с версии 4.11, так вот в те стародавние времена NetWare использовала в своей работе Bindery, которая как раз имена схему одноуровнего домена, которую потом и переняла компания Microsoft.

Best practices

Пора подвести итог. Какое же именование домена использовать? Только домен третьего уровня в домене которым вы владеете. Не стоит использовать чужие более красивые доменные имена :-). Пример такого домена вы можете увидеть ниже:

Называем домены Active Directory правильно

Выбор имени домена это типовая задача, с который сталкивается любой системный администратор хотя бы раз в жизни. После запуска утилиты Dcpromo.exe администратор либо пишет что-то схожее с названием компании, либо генерируется что-то произвольное.

Вроде бы зачем заострять на этом внимание, но правильный выбор домена может сохранить много крови администратору в будущем.

Для простоты, у нас будет системный администратор Василий, который всё знает, и Вас жить научит. И вот Василий нам говорит, — «Ну и что? Ведь всё работает! И вообще, я привык ставить в конторах megakontora.local». И хоть трава не расти.

«Что в имени тебе моём?»

Ну что же, Василий сделал всё по своему. Мы привыкли верить профессионалам. Компания растёт и нам потребовался почтовый сервер, который мы попросили организовать администратора Василия, который тут же начал скачивать заказывать свежий дистрибутив Microsoft Exchange. Дополнительно, мы попросили Василия туда прикрутить сертификат для шифрования.

Василия мы не видели неделю. Как оказалось, он поднял сервер, он даже работал, но возникли сложности с получением сертификата. Внешний домен валидацию прошёл, но внутренний megakontora.local не был обнаружен центром сертификации, и они ответили ему что-то вроде:

Читать еще:  Настройка групповой политики в домене

It’s not possible, we issue only certificates for real domain names.

Василия не было 2 недели — он переименовывал домен. Теперь домен совпадает с внешним интернет именем домена megakontora.ru. Почта работает, а сертификат получен.

Теперь у нас новая, интересная ситуация. У нас проблема с разрешением имён — внешние и внутренние DNS серверы не связаны между собой, но обслуживают несвязанные зоны с одинаковыми именами доменов. В такой ситуации каждый сервер полагает что это он является авторитативным для зоны, и в ответ на запрос о неизвестном ему хосте – отфутболивает. Василий трёт очки. Конечно у Вас есть сайт, конечно ресурсные записи типа А добавляются в зону на внешнем DNS сервере. Несмотря на то, что сайт есть, и доступен, при обращении к нему, наш локальный DNS заявляет нам что такого нет, и искать его не стоит. Представляете как радуется руководитель компании?)

Василий нашёл способ обойти проблему, он пропишет внешние записи в двух зонах. Простых путей он не ищет. В этот раз Вася не будет менять имя домена и жить на работе. Но зато он не вынашивает планов, что бы назвать какой-нибудь локальный домен чем-то вроде bmw.com

Оставим Василя в покое, он получил все радости ай-ти-садо-мазо.

Осталось лишь сказать пару слов о Single-label domain — однокомпонентных доменах, домена из одного слова. Этот вариант для тех кто сначала делает, а когда ничего не помогает открывает инструкцию. Тут у мелкомягких сказано, мол, не пей из копытца. При попытке инсталлировать свежую версию какого-либо продукта, например тот же Exchange, появится сообщение гласящее, что конфигурация более не поддерживается.

Резюме

Домены типа megakontora.local megakontora.ru megakontora — это плохо, никогда не используем.

Если у нашего сайта домен megakontora.ru, то домен Active Directory следует назвать corp.megakontora.ru

Для тех, кто как Василий, не подумал — How Domain Rename Works

Выбор имени домена Active Directory

Более полугода прошло с выпуска моей последней серьёзной статьи О пустых корневых доменах в Active Directory . Пришла весна, и с ней — обостренное желание родить фундаментальный материал, отвечающий на вопрос, который вроде бы очевиден, но при этом критически важен при проектировании: какое же имя дать домену Active Directory, чтобы потом не было мучительно больно?

В этой статье я постараюсь провести вас от самых худших вариантов имени домена Active Directory к самому, по моему мнению, лучшему варианту, попутно указав на преодолеваемые грабли.

Epic fails

Single-label

Вырожденный случай, когда домену Active Directory было дано DNS-имя типа company (без точек), называется single-label. Такое имя полностью противоречит идеологии DNS и не поддерживается большинством серьезных приложений, работающих с AD. С подробностями можно ознакомиться в статье Information about configuring Active Directory domains by using single-label DNS names .

Домен с single-label именем не пригоден для использования в продуктивной среде, и единственный правильный путь — избавиться от него как можно скорее.

Недопустимые символы в имени домена

Например, знак подчеркивания. Хотя в предыдущих версиях Windows Server этот знак допускался при выборе DNS-имени домена, он не соответствует стандарту RFC 1123 для DNS. Новые версии Windows Server уже не позволяют называть домены наперекор стандарту. Если домен с именем, содержащим подчеркивание, был унаследован, ожидаются большие неприятности. Например, нельзя установить Exchange 2007 и выше. Решение одно — избавиться от недопустимых символов в имени домена с помощью миграции в другой домен (предпочтительно), либо процедуры переименования домена (небезопасно).

Disjoint namespace

Один из частных случаев Disjoint namespace — это ситуация, когда Netbios-имя домена отличается от крайней левой части DNS-имени домена.

Netbios Name = TEST
DNS Name = lab.argon.pro

С точки зрения функциональности, такая конфигурация полностью поддерживается. Но я всё же рекомендую избегать её, чтобы не вносить путаницы и неоднозначности.

.local или ICANN

Во многих учебных руководствах можно встретить названия доменов вида company.local . Действительно, нет никакого криминала в том, чтобы использовать такие имена в учебных и тестовых целях. Хуже, когда по той же схеме называют реальные домены:

  • Имя противоречит идеологии глобального DNS: не даёт гарантии отсутствия коллизий с другими такими же доменами (когда придет пора устанавливать доверительные отношения)
  • Отсутствует возможность использовать данное имя для доступа из глобальной сети (когда придет пора публикации)
  • На домен, владение которым невозможно подтвердить, нельзя получить публичный SSL-сертификат. Данное ограничение особенно актуально с развитием облачных сервисов, когад размываются границы между on-premise и cloud сервисами. Просто пример: для работы Single Sign On со службами Officе 365 требуется AD Federation Services c публичным сертификатом

Поэтому я рекомендую при именовании домена всегда использовать официально зарегистрированное глобальное имя в иерархии ICANN (Internet Corporation for Assigned Names and Numbers), которое гарантированно избавит от описанных выше недостатков.

argon.pro
argon.com.ru
irom.info

Выделить или совместить

Представим, что мы проектируем доменную структуру для компании Argon, которая имеет сайт по адресу argon.pro , а также использует адреса электропочты в этом же домене. Велик соблазн назвать домен Active Directory как argon.pro , не правда ли? Но этого лучше не делать по следующим причинам:

  • Если внутри сети такой организации в браузере ввести адрес http://argon.pro/ , то попадём мы не на сайт компании, а на первый попавшийся контроллер домена.
  • Администрирование публичных и внутренних DNS-записей затруднено: все публичные DNS-записи в зоне argon.pro , которые используются из внутренней сети должны быть продублированы на внутренней зоне DNS. Также необходимо как-то обеспечивать синхронизацию этих записей.

Например, в интернете есть сайт www.argon.pro . Чтобы пользователи из внутренней сети могли на него попасть, требуется создать аналогичную запись и во внутренней зоне DNS

  • Есть вероятность возникновения коллизий между внутренними и внешними именами ресурсов.
Читать еще:  Понижение роли контроллера домена

Например, во внутренней сети широко используется сервер ftp.argon.pro . Внезапно возникла необходимость предоставлять пользователям интернета файловый сервис по тому же адресу ftp.argon.pro . Что получилось? Внутренние пользователи не могут подключиться к внешнему сервису по указанному имени…

Таким образом, для домена Active Directory лучше иметь выделенное пространство имён (namespace), отличное от пространства имён в интернете (сайта компании и тому подобное). И здесь тоже есть выбор:

  • Использовать для AD полностью другое имя ( argon.pro для сайта, argon.com.ru для AD)
  • Использовать для AD дочернее имя ( argon.pro для сайта, lab.argon.pro для AD)

Оба варианта удовлетворяют идеологии DNS и избавлены от перечисленных выше недостатков, но второй вариант с дочерним доменом может быть удобнее с точек зрения:

  • поддержки зарегистрированных доменных имен (оплата регистрации и DNS-хостинга только одного домена)
  • доступности красивых имён для регистрации (регистрировать не нужно)
  • получения публичных SSL-сертификатов (всего один wildcard-сертификат можно использовать как для сайта компании, так и при публикации ресурсов внутренней сети)

Итак, предлагаю выбрать для AD выделенный, но дочерний относительно сайта организации домен.

Как правильно назвать домен Active Directory

Взято с — http://it-band.net/kak-pravilno-nazvat-domain-active-directory/

О том, как правильно назвать домен Active Directory задумывается рано или поздно каждый системный администратор. От этого, на первый взгляд не сильно важного момента, в будущем будет зависеть множество сэкономленных часов и нервов. Ведь вся планируемая инфраструктура, основанная на продуктах Microsoft, строится на фундаменте из Active Directory, который служит своего рода связующим звеном между ними. Давайте по порядку рассмотрим разные встречающиеся варианты именования домена Active Directory, начиная от самых худших и закончим самым оптимальным, с моей точки зрения, вариантом именования новоиспеченного домена.

Как называть нельзя

Single-Label Domain Name

Этот частный случай именования домена получается, когда ему дают DNS-имя какdomain (без точек). Отсюда и следует название такого способа именования домена Active Directory, как Single-Label. Чем плох такой способ? Тем, что полностью противоречит самой идеологии DNS, от которой зависит Active Directory. Компьютеры, включенные в такой однокомпонентный домен, требуют настройки для регистрации и разрешения в DNS-зонах с однокомпонентными именами. Windows Server 2008 выдает предупреждение при попытке создать такой домен Active Directory, а начиная с Windows Server 2008 R2 мастер dcpromo.exe заблокирует попытку создания Single-Label домена. Большинство приложений также не работают с таким типом доменов Active Directory, например Exchange Server. Более подробно о Single-Label доменах можно прочитать в статье базы знаний Microsoft.

Недопустимые символы в имени домена

Функционирование Active Directory целиком зависит от службы DNS, поэтому если в имени домена будут запрещенные символы, то нормальная работа такого домена будет невозможна. К таким символам, например, относятся: двоеточие ( : ), слэш ( / ) и бэк-слэш ( ), знак номера ( # ), собачка ( @ ), тильда (

). Так же, согласно RFC 1123, не следует использовать в имени домена знак подчеркивания ( _ ). Это сулит большие проблемы, например, нельзя установить Exchange Server 2007 и выше. Единственные символы, которые можно использовать в имени домена Active Directory это буквы, цифры, знак тире ( — ) и точка ( . ), но она не может стоять в начале или в конце имени домена. Новые версии Windows Server не позволят вам дать имя домену если оно не соответствует стандарту.

Как домен Active Directory называть не стоит

Disjoint Namespace

В большинстве развертываний Active Directory основной DNS-суффикс входящих в домен компьютеров такой же, как и DNS-имя домена. Если они отличаются, то такая топология называется Disjoint Namespace. Она может возникнуть по нескольким причинам, например, в связи со слиянием нескольких предприятий. Пример Disjoint Namespace: NETBIOS-имя домена: CORP DNS-имя: central.it-band.net Отдельным случаем Disjoint Namespace является ситуация, когда NetBIOS-имя контроллера домена не совпадает с его DNS именем. Вообще, такие конфигурации полностью поддерживаются и нормально функционируют, но вносят много путаницы и неясностей, а также чреваты потенциальными граблями при настройке Exchange Server. Более детальную информацию о Disjoint Namespace можно получить в статье на Technet.

.local

Достоверно не известно, откуда пошла мода именовать домены Active Directory какsomecorp.local. Одна из версий такова, что в былые времена, на одном из докладов по Windows Server, выступающий продемонстрировал тестовую среду, где домен был назван именно таким образом. Для тестовых и учебных применений, такие имена вполне годятся. Но запускать такое в реальные условия лучше не стоит. Перечислим основные причины почему:

  • Самая важная причина не называть домен Active Directory таким образом состоит в том, что вы никак не сможете подтвердить владение им для получения публичного SSL-сертификата. На данный момент существует еще лазейка с использованием поля SAN (Subject Alternative Name) в сертификатах и некоторых CA, например Comodo, которые позволяют в это самое поле ставить такие домены. Но в 2015 году этот путь будет прикрыт.
  • Такое имя невозможно использовать из внешней сети, а значит и получить доступ, например, к почте.
  • Данный способ именования вступает в противоречие с глобальным DNS, так как не гарантирует его уникальность что приводит к потенциальным коллизиям.

Что же остается?

ICANN

Чтобы избежать всех вышеперечисленных проблем, домен Active Directory следует именовать согласно глобальному официально зарегистрированному имени в ICANN(Internet Corporation for Assigned Names and Numbers). Пример именования домена согласно ICANN: it-band.net

Пара тонкостей

А теперь давайте предположим, что у нас задача создать инфраструктуру для компании IT-Band. Данная компания имеет свой веб сайт http://it-band.net и работники используют адреса электронной почты вида m.petrov@it-band.net И, основываясь на всей выше изложенной информации, мы решаем дать имя домену Active Directory как it-band.net. Но не будем торопиться это делать, потому что:

  • Набрав в браузере компьютера, находящегося в таком домене, адрес веб сайта нашей компании, мы попадем совсем не на него, а на один из контроллеров домена.
  • Вам придется следить за двумя зонами в DNS — публичной и внутренней, чтобы DNS-записи существовали в обоих и были синхронизированы.
  • Появляется вероятность образования коллизий между внешними и внутренними ресурсами в таком домене.
Читать еще:  Служба доменных имен это

Как же тогда поступить? Все просто — использовать для домена Active Directory поддомен основного ICANN-имени. Например, corp.it-band.net. Вторым способом решения проблемы является использование другого дополнительного домена, например it-band.biz. Эти два способа полностью решают все описанные недостатки. Однако, первый способ имеет пару небольших преимуществ:

  • Все удобно консолидировано в одно доменное имя.
  • Не нужно оплачивать второе доменное имя.

Как не нужно называть домены Active Directory

Выбор имени домена задача несложная, но как показывает жизнь достаточно часто после запуска dcpromo имя домена генерируется случайным образом. Вроде и ничего страшного, домен работает, принтеры печатают, 1С открывается. Но увы есть ряд ситуаций, когда генерация случайным образом имени, если не выйдет вам боком, то хлопот однозначно добавит. В этой небольшой заметке я попытаюсь рассказать о том, как не стоит именовать ваши домены и почему. Информация хоть и известная, но реальная жизнь показывает, что ошибки в именовании просто повальные. А поскольку процедура переименования домена это ит-шное садо-мазо, лучше все делать изначально правильно.

1. Ситуация первая. Имя домена – domainname.local

Наверно самый распространенный вариант это использование окончания .local или любого другого домена первого уровня, не используемого IANA. (а-ля .msk или .test или .loc и.т.д) Откуда это пошло сейчас трудно сказать, есть несколько вариантов. Один говорит о том, что в 2000-м когда AD появилась на конференции в демонстрации докладчик сделал такой домен.
Ну и народ воспринял это как призыв к действию. Вторая гипотеза, впрочем не исключающая первую склоняется к тому, что скорее всего MSFT сама написала явно рекомендацию в литературе, после чего .local и ушел в народ. Чем же плох такой вариант?

Сценариев несколько, но я расскажу и наболевшем. Допустим вы устанавливаете внутри организации Exchange Server, которому необходим сертификат для шифрования клиентских подключений. Сертификат хочется от коммерческого центра, все как у людей. Естественно в сертификате должны быть указаны все имена сервера по которым сервер будет доступен. И если внешний домен принадлежит нам и легко пройдет валидацию, то внутренний домен а-ля super-firma.moscow не существует и при попытке объяснить центрам сертификации, что вам в SAN нужно запихнуть FQDN – exchange.super-firma.moscow получите ответ:

It’s not possible, we issue only certificates for real domain names.

На текущий момент запихивать в SAN сертификата всякие неприличные слова разрешает Comodo Certificate Authority, что значительно сужает выбор поставщика сертификатов, да и гарантии, что они будут разрешать это и дальше нет.

2. Ситуация вторая. Имя домена AD совпадает с внешним интернет именем домена.

Тоже нередкий вариант, но при нем проблемы с сертификатами не будет. Зато возникают проблемы с разрешением имен. Получается ситуация, когда внешние и внутренние DNS сервера не связаны между собой, но при этом обслуживают несвязанные зоны с одинаковыми именами. В такой ситуации каждый внутренний сервер логично считает себя авторитативным для зоны и при незнании о каком либо хосте авторитетно заявляет – НЕТ! Поскольку вы имеете какие то внешние ресурсы, самое банальное веб-сайты, естественно записи типа А добавляются в зону на внешнем DNS сервере. Теперь когда внутренний клиент попытается разрешить имя внешнего ресурса, его запрос попадет на внутренний DNS сервер, (естественно, это же доменный клиент) а тот в ответ “не знаю, нет такого и можешь не искать”, т.к видит, что он авторитативный для этой зоны сервер.

Для решения этой проблемы вам придется прописывать внешние записи в двух зонах, а это неизбежно приведен к путанице и дополнительной рутине. Если вас это не пугает, то попробуйте при таком сценарии разрешить внутренним пользователям открывать корпоративный сайт без префикса www. В общем плохой вариант и не надо его использовать.

Особый привет тем администраторам, которые назвали свои внутренние домены именами чужих знаменитых публичных доменов. Думаю какой геморрой в таком случае вам обеспечен объяснять не нужно.

3. Ситуация третья. Плоское имя домена состоящее из одного слова.

Если первые два варианта еще можно пережить, то за плоские имена доменов пора ввести административное наказание. Single-label domain (одноуровневый домен, SLD) – это домен, содержащий только одну именную составляющую. Откуда пошла мания их использовать, я не знаю, но уже давно официально признано, что SLD домены не должны использоваться при построении ИТ-инфраструктур.

При этом данная информация такой канадский баян, что остается только удивляться откуда SLD домены берутся. http://support.microsoft.com/kb/300684 .

Чем грозит? Отсутствием поддержки со стороны продуктов Microsoft такой конфигурации. Из свежего. Попытайтесь установить Exchange 2010 SP1 в домене с плоским именем, получите сообщение о том, что такая конфигурация больше не поддерживается.

Как же правильно именовать домен?

Ответ прост. Делать согласованное пространство имен. Т.е имея домен itband.ru в реальном мире, домен Active Directory делать суб-доменом типа corp.itband.ru. При таком раскладе все проблемы отпадают. И совсем не обязательно делать делегирование DNS суб-домена на внешнем DNS сервере. Хотя если вы это сделаете, можно добиться разрешения имен в обе стороны. (из внутренней сети внешних имен, из Internet внутренних имен)

Для тех, кто не подумал изначально есть “хорошая” ссылка: http://technet.microsoft.com/en-us/library/cc738208(v=ws.10).aspx Приятных Вам вечером за чтением данного произведения.

MCP/MCT Илья Рудь

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector