3 votes

MadBoy avatar

Avantages et inconvénients de l'utilisation d'un nom de domaine interne ou externe pour Active Directory

Demandé el 20 de Mars, 2011
Quand la question a-t-elle été
11217 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

On m'a toujours appris à utiliser un nom de domaine interne ( company.local o company.corp ) pour Active Directory au lieu de ( company.com o company.pl ). Récemment, nous avons pensé qu'en utilisant le nom de domaine externe, nous pourrions obtenir certains avantages pour des choses comme les certificats pour Exchange, Sharepoint et autres, où les noms internes et externes seraient exactement les mêmes, ce qui rendrait inutile l'achat de certificats spéciaux.

Quels sont les avantages et les inconvénients des deux ? Qu'est-ce qui pourrait être un problème potentiel dans ce cas et qu'est-ce qui pourrait être un grand avantage ?

Demandé el 20 de Mars, 2011 par MadBoy

Réponses

Trop de publicités?

3voto

Peter Bagnall avatar
Peter Bagnall Points 738

J'ai construit et soutenu des dizaines de forêts Active Directory au cours de la dernière décennie, depuis la construction de serveurs SBS pour 10 utilisateurs jusqu'à la prise en charge de la gestion d'une forêt de 6 000 utilisateurs avec plus de 50 DC et la refonte de l'ensemble. Je peux dire que je ne vois aucune raison de NE PAS utiliser votre nom de domaine Internet .com pour le nom de la forêt AD si vous planifiez correctement. Microsoft a cessé de recommander l'utilisation du domaine .local il y a plusieurs années en raison des incompatibilités de Bonjour avec les anciennes versions de Mac OS X et pour les raisons que vous citez. L'idée de l'époque Win2000 de créer un domaine racine "sans membre", le domaine principal étant un sous-domaine, est également dépassée en raison de l'amélioration des outils et de la gestion.

Raisons de faire un DNS "à deux cerveaux", les domaines Internet et AD étant les mêmes :

  1. Meilleure raison : Les URL des applications web sont les mêmes à l'intérieur et à l'extérieur pour les utilisateurs (il est recommandé d'ajouter votre nom de domaine interne à la zone de sécurité de l'intranet d'IE par le biais d'une GPO).
  2. option permettant de rendre les logons et l'adresse email identiques (la méthode de logon NT4 est le domaine). \user mais dans les versions modernes de Windows, il faut aussi username@domain.com)
  3. L'adresse SIP OCS/Lync est la même que celle de l'email et du login.
  4. Vous pouvez utiliser vos certificats publics pour les serveurs internes plutôt que votre AC privée.

Négatifs :

  1. VPN à tunnel divisé La complexité entre en jeu lorsque les ordinateurs clients en dehors de votre réseau doivent décider d'utiliser soit l'IP publique pour website.domain.com, soit l'IP interne. Souvent, les entreprises (pour être moins chères et économiser de la bande passante) configurent les paramètres VPN Windows des clients en mode "split-tunnel", ce qui indique à Windows de n'envoyer vers l'intranet que le trafic destiné aux noms/IP internes. Lorsque le DNS peut résoudre les mêmes noms à l'intérieur et à l'extérieur du réseau, lequel doit-il choisir d'utiliser ? Windows vous donnera des résultats mitigés quant aux enregistrements DNS (privés ou publics) à utiliser pour le client. Ma recommandation : n'autorisez pas le split-tunneling dans les VPN clients.
Répondu el 20 de Mars, 2011 par Peter Bagnall (738 Points )

1voto

Shane Madden avatar
Shane Madden Points 112034

La gestion des DNS est le principal casse-tête auquel vous serez confronté.

  • Résolution du domaine :

Les systèmes du domaine s'attendent à pouvoir résoudre les contrôleurs de domaine lorsqu'ils demandent le FQDN du domaine. C'est un problème si vos utilisateurs, par exemple, veulent accéder au site web en mettant company.com dans leurs navigateurs ; cette entrée DNS doit pointer vers les contrôleurs de domaine (et les utilisateurs devront entrer www.company.com pour le site web).

  • Gestion de la double zone :

De même, vos serveurs Active Directory seront configurés de manière à faire autorité pour le serveur company.com zone. Vous devrez donc gérer deux copies de la zone : celle qui se trouve dans Active Directory et celle que les utilisateurs d'Internet verront. Toutes les entrées auxquelles vos utilisateurs internes devront accéder devront être créées et mises à jour aux deux endroits.

L'avantage que vous avez cité pour les certificats peut être obtenu avec quelques astuces DNS, sans nécessairement avoir besoin de commit un chevauchement pour toujours. D'autre part, il est utile, du point de vue de la convivialité, que l'adresse électronique des utilisateurs corresponde à leur nom de principe.

Répondu el 20 de Mars, 2011 par Shane Madden (112034 Points )

1voto

Besi avatar
Besi Points 492

Ayant été impliqué dans un projet de migration publicitaire de longue durée (et très coûteux), je suis devenu partisan d'une publicité interne qui soit "générique" par rapport au nom de votre entreprise. si vous êtes dans une entreprise susceptible d'être achetée ou fusionnée avec une autre entreprise, vous pouvez constater que vous n'avez pas nécessairement besoin de changer le domaine de votre publicité en raison d'une décision de l'entreprise.

Par exemple, si vous travaillez dans le secteur de la chaussure, vous pouvez acheter un nom de domaine tel que corpshoe.net et l'utiliser uniquement pour Active Directory. Votre site web et votre courrier électronique d'entreprise peuvent rester identiques à vos noms de domaine habituels, et si votre entreprise change, votre publicité n'a pas à le faire.

Je pense également qu'il faut être propriétaire de son nom de publicité dans le monde extérieur. cela facilite les choses.

Répondu el 20 de Mars, 2011 par Besi (492 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X