Nommer une nouvelle forêt Active Directory - pourquoi le DNS à horizon partagé n'est-il pas recommandé?

23

Heureusement , nous savons tous quelles sont les recommandations pour nommer une forêt Active Directory , et elles sont assez simples. À savoir, il peut être résumé en une seule phrase.

Utilisez un sous-domaine d'un nom de domaine enregistré existant et choisissez-en un qui ne sera pas utilisé en externe. Par exemple, si je devais incorporer et enregistrer le hopelessn00b.comdomaine, ma forêt AD interne devrait être nommée internal.hopelessn00b.comou ad.hopelessn00b.comou corp.hopelessn00b.com.

Il y a une écrasante majorité des raisons impérieuses d'éviter d' utiliser tlds de « faux » ou des noms de domaine en une seule partie , mais je vais avoir du mal à trouver des raisons aussi irréfutables d'éviter d' utiliser le domaine racine ( hopelessn00b.com) comme mon nom de domaine et d' utiliser un sous - domaine, comme la corp.hopelessn00b.complace . Vraiment, la seule justification que je puisse sembler trouver est que l'accès au site Web externe à partir d'un site interne nécessite un A nameenregistrement DNS et une saisie www.devant le nom du site Web dans un navigateur, ce qui est assez "meh" en ce qui concerne les problèmes.

Alors, qu'est-ce que je manque? Pourquoi est-il préférable d'utiliser ad.hopelessn00b.comcomme nom de forêt Active Directory hopelessn00b.com?

Juste pour mémoire, c'est vraiment mon employeur qui a besoin de convaincre - l'homme patron fait du back-colportage, et après m'avoir donné le feu vert pour créer une nouvelle forêt AD nommée corp.hopelessn00b'semployer.compour notre réseau interne, il veut s'en tenir à une forêt AD nommée hopelessn00b'semployer.com( le même que notre domaine enregistré en externe). J'espère que je peux obtenir une raison convaincante ou des raisons pour lesquelles la meilleure pratique est la meilleure option, donc je peux le convaincre de cela ... parce que cela semble plus facile que la rage de quitter et / ou de trouver un nouvel emploi, au moins pour le moment. À l'heure actuelle, les «meilleures pratiques Microsoft» et l'accès interne au site Web public de notre entreprise ne semblent pas les supprimer, et j'espère vraiment , vraiment , vraiment que quelqu'un ici aura quelque chose de plus convaincant.

HopelessN00b
la source
1
Correction mineure - il faudrait un enregistrement A interne, pas un enregistrement SRV pour www.
MDMarra
@ HopelessN00b - Mark est parfait avec tout ce que j'aurais dit et plus encore. Son scénario «partenaire» est la cerise sur le gâteau. Je n'ai pas eu le «plaisir» de courir dans ce scénario avec DNS à horizon partagé. J'aurais juste mentionné qu'il faisait des résolutions de noms dans un VPN, mais je ne pensais pas à DirectAccess en particulier.) Si je pense à quelque chose, je vais le jeter. Je suis juste horrifié par le travail et le potentiel d'erreurs qu'il crée. Cela seul est une raison suffisante pour justifier de ne pas le faire. Surtout, je suis toujours énervé par les gens qui disent que "les grandes entreprises le font donc ça va" comme excuse.
Evan Anderson

Réponses:

24

Tant de représentants à avoir. Venez à moi précieux.

Ok, il est donc assez bien documenté par Microsoft que vous ne devez pas utiliser split-horizon, ou un TLD composé comme vous l'avez lié à plusieurs reprises (merci à mon blog!). Il y a plusieurs raisons à cela.

  1. Le wwwproblème que vous avez signalé ci-dessus. Ennuyeux, mais pas un facteur de rupture.

  2. Il vous oblige à conserver des enregistrements en double pour tous les serveurs accessibles au public qui sont également accessibles en interne, pas seulement www. mail.hopelessnoob.comest un exemple courant. Dans un scénario idéal, vous auriez un réseau de périmètre séparé pour des choses comme mail.hopelessnoob.comou publicwebservice.hopelessnoob.com. Avec certaines configurations, comme un ASA avec des interfaces internes et externes , vous avez besoin soit à l' intérieur-intérieur NAT ou split-horizon DNS de toute façon , mais pour les grandes organisations avec un réseau de périmètre légitime où vos ressources face à Internet ne sont pas derrière une frontière NAT en épingle à cheveux - cela entraîne un travail inutile.

  3. Imaginez ce scénario - vous êtes en hopelessnoob.cominterne et en externe. Vous avez une société avec laquelle vous vous associez appelée example.comet ils font la même chose - partager l'horizon en interne avec leur AD et avec leur espace de noms DNS accessible au public. Maintenant, vous configurez un VPN de site à site et souhaitez que l'authentification interne pour que la confiance traverse le tunnel tout en ayant accès à leurs ressources publiques externes pour sortir sur Internet. C'est presque impossible sans un routage de politique incroyablement compliqué ou sans votre propre copie de leur zone DNS interne - vous venez de créer un ensemble supplémentaire d'enregistrements DNS à maintenir. Vous devez donc faire face à l'épingle à cheveux de votre côté etleur fin, le routage des politiques / NAT et toutes sortes d'autres ruses. (J'étais en fait dans cette situation avec une AD dont j'ai hérité).

  4. Si vous déployez jamais DirectAccess , cela simplifie considérablement vos stratégies de résolution de noms - cela est probablement également vrai pour d'autres technologies VPN à tunnel partagé.

Certains d'entre eux sont des cas marginaux, d'autres non, mais ils sont tous facilement évités. Si vous avez la possibilité de le faire depuis le début, autant le faire de la bonne manière afin de ne pas en rencontrer un dans une décennie.

MDMarra
la source
1
Sauce incroyable. Je pense que 3 et 4 pourraient sceller l'accord ... mais je vais laisser ouvert pour voir si quelqu'un a autre chose. Et j'espère que vous encouragerez plus de précisions à votre façon. Deux votes positifs pour cette réponse est assez faible ... allez, les gens. Besoin de votes positifs!
HopelessN00b
2
+1 - J'adore ça. Continuez le combat.
Evan Anderson
8

Cette affirmation: "Vraiment, la seule justification que je puisse trouver est que l'accès au site Web externe à partir d'un site interne nécessite un enregistrement DNS SRV et en tapant www. Devant le nom du site Web dans un navigateur" n'est pas vrai.

Cela signifie que vous devez conserver une copie de tous vos enregistrements publics dans vos serveurs AD DNS, ce qui pourrait causer des problèmes, en particulier si vous ne le faites pas correctement - en manquer, etc. Si quelqu'un veut accéder à ftp.company. com mais vous oubliez de créer l'alias dans le DNS interne (ou ne l'avez pas automatisé correctement), les gens en interne ne peuvent pas du tout accéder au site FTP public.

Ceci est assez bien étoffé dans la question à laquelle vous avez lié: les meilleures pratiques de nommage Windows Active Directory?

Si la maintenance de plusieurs copies de vos zones DNS est un problème facile à résoudre correctement pour toujours, alors je suppose que vous pouvez faire ce que vous voulez. Jusqu'à ce que MS change quelque chose qui le brise. Vous pouvez simplement suivre leurs recommandations.

mfinni
la source
Bon point. Bien sûr, nous n'avons pas de services publics comme ça, et externalisons notre hébergement, donc ... je ne sais pas combien cela importera, mais je peux l'ajouter à la liste. Merci.
HopelessN00b
1
Comme je l'ai édité - la façon dont l'identité Internet publique de votre entreprise est utilisée aujourd'hui peut ne pas refléter avec précision la façon dont elle sera utilisée dans 5 ans.
mfinni
Oui, l'épreuve du futur ... une autre bonne. J'aimerais pouvoir vous donner un autre +1. :)
HopelessN00b
5

Je ne me soucie pas assez du représentant pour créer une réponse longue aujourd'hui ... alors je serai bref.

J'étais très bien avec split-dns et je l'ai implémenté plusieurs fois jusqu'à ce qu'Evan et Mark me convainquent du contraire. Honnêtement, ce n'est PAS que cela ne peut pas être fait ... c'est possible, et certains pourraient très bien le faire (malgré les frais généraux et le travail effectués pour cela).

Il y a des années, 2 choses spécifiques sont apparues pour moi qui se sont solidifiées sans l'utiliser:

  1. Comme vous l'avez souligné dans votre question, vous ne pouvez tout simplement pas autoriser les utilisateurs internes à accéder à votre site Web externe via uniquement le nom de domaine. Ne demandez pas pourquoi c'était si important, mais nous avions des utilisateurs internes qui deviendraient livides en tapant simplement le nom de domaine dans un navigateur sans wwwafficher le site Web réel, car l'enregistrement de domaine correspond au domaine AD et n'est pas un fourre-tout pour se rendre wwwet NE PEUT PAS ÊTRE en interne.
  2. Problèmes d'Exchange - Exchange AutoDiscover peut ne pas obtenir les certificats et provoquera une erreur. Cela peut se produire à la fois en interne et en externe. Cela est devenu encore plus évident lorsque nous avons commencé à avoir des "boîtes aux lettres de forêt externe" sur notre organisation Exchange et ils ne voyaient pas le même DNS interne que nous.

J'espère que ça t'as aidé.

Le nettoyeur
la source
1
Heh heh ... Finalement @MDMarra et moi vous ferons penser comme nous.
Evan Anderson
2
La résistance est futile ... votre AD sera assimilée dans un sous-domaine de votre domaine principal!
Ward - Rétablir Monica
En passant, j'ai travaillé autour du problème WWW en installant IIS sur tous les contrôleurs de domaine et en créant une page de redirection ASP vers www. Cela fonctionne en fait assez bien, malgré l'utilisation quelque peu frivole d'IIS.
cscracker