浅谈活动目录域名称空间设计

  1. 云栖社区>
  2. 博客>
  3. 正文

浅谈活动目录域名称空间设计

技术小胖子 2017-11-02 21:12:00 浏览791
展开阅读全文

大家在构建活动目录初期,最重要的工作就是规划活动目录域名称空间。


通常有以下三种方式:

  1. 内部域名与外部域名保持一致

  2. 内部域名作为外部域名的子域名

  3. 内部域名作为独立域,与外部域名不存在任何联系



这里假设某公司外部域名为 example.com.

那么如上三种描述可以分别这样规划设计活动目录域名称空间:

按第一种方式:内部域名也设置为example.com

按第二种方式:内部域名可以设置为如 hq.example.com 作为子域名的形式存在

按第三种方式:内部域名可以设置为 standalone.com,与外部域名没有任何关联


下面主要介绍这三种方式各自的优劣势,以供大家参考。


这里结合示例讲解,示例基础环境统一如下:


主机: bbs.example.com   内网IP:192.168.0.1  NAT到公网IP:11.11.11.11

内网主机DNS全部指向内网DC(DC集成DNS服务)

分别使用三种方式实现实例。


第一种方式: 内部域名域外部域名一致


  首先要说明的是:这种方式是微软不推荐的方式。

  但是这种方式还是在大部分企业很常用的方式。既然官方极度不推荐,为什么还有那么多企业这么

设计呢? 最主要的优势还是人性化。因为类似www\mail 之类的主机记录都会在公网DNS上做解析,但

是有时服务器就在企业内部,考虑到内网访问速度的问题,以及一些只供内网用户访问的站点等,可能

需要DNS污染技术.这时候就可以在内网DNS上做相应的主机记录,网内用户就可以通

过"www.example.com" "mail.example.com" 等形如此类方式访问了。和公网域名一致,也更容易记

忆。所以更人性化。

 

  但是它最大的缺点是:内网DNS会将example.com作为权威域,对于example.com域内的主机的解析如

果失败不会转发到公网DNS继续查询,而是直接返回解析失败的结果。这样导致只在公网DNS解析的主

机不能在内网访问。


比如:

    mail.example.com 在公网DNS上做了主机记录(11.11.11.11),内网DNS没有做主机记录

(192.168.0.1)。那么内网主机在访问mail.example.com 时就会访问失败。因为内网DNS认为

example.com 是自己的权威域,DNS数据库里没有bbs主机记录,所以直接返回解析失败,不再进行转

发。这时,只要在内网DNS增加A记录 mail指向192.168.0.1或者11.11.11.11即可,但是考虑到网络速

度的问题通常将A记录指向内网IP 192.168.0.1.



解决方案:

  这种方式的域名称设计,需要将发布的主机同时在公网和内网DNS上做解析。这样就可以避免上面的情况了。


第二种方式:内部域名作为外部域名的子域名

   这种方式是微软首推的方式。

   优点是:内网DNS和公网DNS的单独管理,不会有第一种方式的冲突。 内部要发布主机和网站的域名可以与公网域名保持一致,也可以不一致。


这里分几种情况介绍一下(假设内网域名为hq.example.com):


A. 内外网均可访问,且URL一致为"bbs.example.com":

  这种情况下,只能在外网DNS发布。在外网DNS新增A记录:bbs 指向IP 11.11.11.11。内网DNS不做配置。

B. 仅内网发布,不允许外网访问,且URL为"bbs.example.com"

  这种情况,也只能在外网DNS发布。 在外网DNS新增A记录:bbs 指向IP 192.168.0.1。内网DNS不做配置。

C. 内外网均可访问,且URL可以不一致

  这种情况可以这样实现: 外网DNS增加A记录:bbs 指向IP 11.11.11.11;内网DNS增加A记录:bbs 指向IP 192.168.0.1,内网访问URL则为:bbs.hq.example.com(是不是不够人性化?),这样就不如第一种方式的实现看似无缝了。



第三种方式:内部域名作为独立域,与外部域名不存在任何关系


这种方式管理复杂,基本很少用。如果要实现内外网访问URL一致性,只能在公网DNS配置主机记录。内网发布的主机只能是:standalone.com 子域、子域的子域等方式。形如:*.*.standalone.com.



每个企业环境不一样,管理员个人习惯也各异,但是无论哪种方式基本都有手段实现我们的日常需要,这里仅作为前期参考,根据实际情况选择自己的内部域名称规划。因为一旦部署实施后,在想变化域名就很麻烦了。




     本文转自marbury 51CTO博客,原文链接:http://blog.51cto.com/magic3/1342703,如需转载请自行联系原作者




网友评论

登录后评论
0/500
评论
技术小胖子
+ 关注