Называем домены Active Directory правильно

Цель нашей компании - предложение широкого ассортимента услуг на постоянно высоком качестве обслуживания.

Называем домены Active Directory правильно
Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге
Выбор имени домена это типовая задача, с который сталкивается любой системный администратор хотя бы раз в жизни. После запуска утилиты Dcpromo.exe администратор либо пишет что-то схожее с названием компании, либо генерируется что-то произвольное.

Вроде бы зачем заострять на этом внимание, но правильный выбор домена может сохранить много крови администратору в будущем.

Для простоты, у нас будет системный администратор Василий, который всё знает, и Вас жить научит. И вот Василий нам говорит, - "Ну и что? Ведь всё работает! И вообще, я привык ставить в конторах megakontora.local". И хоть трава не расти.

"Что в имени тебе моём?"


Ну что же, Василий сделал всё по своему. Мы привыкли верить профессионалам. Компания растёт и нам потребовался почтовый сервер, который мы попросили организовать администратора Василия, который тут же начал скачивать заказывать свежий дистрибутив Microsoft Exchange. Дополнительно, мы попросили Василия туда прикрутить сертификат для шифрования.

Василия мы не видели неделю. Как оказалось, он поднял сервер, он даже работал, но возникли сложности с получением сертификата. Внешний домен валидацию прошёл, но внутренний megakontora.local не был обнаружен центром сертификации, и они ответили ему что-то вроде:

It's not possible, we issue only certificates for real domain names.


Василия не было 2 недели - он переименовывал домен. Теперь домен совпадает с внешним интернет именем домена megakontora.ru. Почта работает, а сертификат получен.

Теперь у нас новая, интересная ситуация. У нас проблема с разрешением имён - внешние и внутренние DNS серверы не связаны между собой, но обслуживают несвязанные зоны с одинаковыми именами доменов. В такой ситуации каждый сервер полагает что это он является авторитативным для зоны, и в ответ на запрос о неизвестном ему хосте – отфутболивает. Василий трёт очки. Конечно у Вас есть сайт, конечно ресурсные записи типа А добавляются в зону на внешнем DNS сервере. Несмотря на то, что сайт есть, и доступен, при обращении к нему, наш локальный DNS заявляет нам что такого нет, и искать его не стоит. Представляете как радуется руководитель компании?)

Василий нашёл способ обойти проблему, он пропишет внешние записи в двух зонах. Простых путей он не ищет. В этот раз Вася не будет менять имя домена и жить на работе. Но зато он не вынашивает планов, что бы назвать какой-нибудь локальный домен чем-то вроде bmw.com

Оставим Василя в покое, он получил все радости ай-ти-садо-мазо.

Осталось лишь сказать пару слов о Single-label domain - однокомпонентных доменах, домена из одного слова. Этот вариант для тех кто сначала делает, а когда ничего не помогает открывает инструкцию. Тут у мелкомягких сказано, мол, не пей из копытца. При попытке инсталлировать свежую версию какого-либо продукта, например тот же Exchange, появится сообщение гласящее, что конфигурация более не поддерживается.

Резюме

Домены типа megakontora.local \ megakontora.ru \ megakontora - это плохо, никогда не используем.

Если у нашего сайта домен megakontora.ru, то домен Active Directory следует назвать corp.megakontora.ru

Для тех, кто как Василий, не подумал - How Domain Rename Works

о том же самом ещё раз