Ci sono solo due risposte corrette a questa domanda.
Un sottodominio inutilizzato di un dominio che usi pubblicamente. Ad esempio, se la tua presenza sul web pubblico è il example.com
tuo AD interno potrebbe essere chiamato come ad.example.com
o internal.example.com
.
Un dominio di secondo livello inutilizzato che possiedi e che non usi altrove. Ad esempio, se la tua presenza sul web pubblico è il example.com
tuo AD potrebbe essere nominato example.net
fintanto che ti sei registrato example.net
e non utilizzarlo altrove!
Queste sono le tue uniche due scelte. Se fai qualcos'altro, ti stai lasciando aperto a molto dolore e sofferenza.
Ma tutti usano .local!
Non importa Non dovresti. Ho scritto un blog sull'uso di .local e di altri TLD inventati come .lan e .corp . In nessun caso dovresti mai farlo.
Non è più sicuro. Non sono le "migliori pratiche" come sostengono alcune persone. E non ha alcun vantaggio rispetto alle due scelte che ho proposto.
Ma voglio nominarlo come l'URL del mio sito web pubblico in modo che i miei utenti siano example\user
invecead\user
Questa è una preoccupazione valida, ma sbagliata. Quando si promuove il primo controller di dominio in un dominio, è possibile impostare il nome NetBIOS del dominio su quello che si desidera. Se segui i miei consigli e imposti il tuo dominio ad.example.com
, puoi configurare il nome NetBIOS del dominio in example
modo che gli utenti accedano come example\user
.
Nelle foreste e trust di Active Directory è possibile creare anche suffissi UPN aggiuntivi. Non c'è nulla che ti impedisca di creare e impostare @ example.com come suffisso UPN principale per tutti gli account nel tuo dominio. Quando lo combini con la precedente raccomandazione NetBIOS, nessun utente finale vedrà mai l'FQDN del tuo dominio ad.example.com
. Tutto ciò che vedranno sarà example\
o @example.com
. Le uniche persone che dovranno lavorare con il nome di dominio completo sono gli amministratori di sistema che lavorano con Active Directory.
Inoltre, supponi di utilizzare uno spazio dei nomi DNS a orizzonte diviso, il che significa che il tuo nome AD è lo stesso del tuo sito web pubblico. Ora, i tuoi utenti non possono accedere example.com
internamente a meno che tu non li abbia prefisso www.
nel loro browser o non esegui IIS su tutti i tuoi controller di dominio (questo è male). Devi anche curarne duezone DNS non identiche che condividono uno spazio dei nomi disgiunto. È davvero più seccante di quanto valga la pena. Ora immagina di avere una partnership con un'altra società e che abbiano anche una configurazione DNS split-horizon con il loro AD e la loro presenza esterna. Hai un collegamento in fibra privata tra i due e devi creare un trust. Ora, tutto il tuo traffico verso i loro siti pubblici deve attraversare il collegamento privato invece di uscire semplicemente su Internet. Crea anche tutti i tipi di mal di testa per gli amministratori di rete su entrambi i lati. Evitare questo. Fidati di me.
Ma ma ...
Seriamente, non c'è motivo di non usare una delle due cose che ho suggerito. Qualsiasi altro modo ha insidie. Non ti sto dicendo di affrettarti a cambiare il tuo nome di dominio se è funzionante e in atto, ma se stai creando un nuovo annuncio, fai una delle due cose che ho raccomandato sopra.
corp
non è così descrittivo comefoo
.