本文共 1948 字,大约阅读时间需要 6 分钟。
大家在构建活动目录初期,最重要的工作就是规划活动目录域名称空间。
通常有以下三种方式:
内部域名与外部域名保持一致
内部域名作为外部域名的子域名
内部域名作为独立域,与外部域名不存在任何联系
这里假设某公司外部域名为 example.com.
那么如上三种描述可以分别这样规划设计活动目录域名称空间:
按第一种方式:内部域名也设置为example.com
按第二种方式:内部域名可以设置为如 hq.example.com 作为子域名的形式存在
按第三种方式:内部域名可以设置为 standalone.com,与外部域名没有任何关联
下面主要介绍这三种方式各自的优劣势,以供大家参考。
这里结合示例讲解,示例基础环境统一如下:
主机: bbs.example.com 内网IP:192.168.0.1 NAT到公网IP:11.11.11.11
内网主机DNS全部指向内网DC(DC集成DNS服务)
分别使用三种方式实现实例。
第一种方式: 内部域名域外部域名一致
首先要说明的是:这种方式是微软不推荐的方式。
但是这种方式还是在大部分企业很常用的方式。既然官方极度不推荐,为什么还有那么多企业这么
设计呢? 最主要的优势还是人性化。因为类似www\mail 之类的主机记录都会在公网DNS上做解析,但
是有时服务器就在企业内部,考虑到内网访问速度的问题,以及一些只供内网用户访问的站点等,可能
需要DNS污染技术.这时候就可以在内网DNS上做相应的主机记录,网内用户就可以通
过"www.example.com" "mail.example.com" 等形如此类方式访问了。和公网域名一致,也更容易记
忆。所以更人性化。
但是它最大的缺点是:内网DNS会将example.com作为权威域,对于example.com域内的主机的解析如
果失败不会转发到公网DNS继续查询,而是直接返回解析失败的结果。这样导致只在公网DNS解析的主
机不能在内网访问。
比如:
mail.example.com 在公网DNS上做了主机记录(11.11.11.11),内网DNS没有做主机记录
(192.168.0.1)。那么内网主机在访问mail.example.com 时就会访问失败。因为内网DNS认为
example.com 是自己的权威域,DNS数据库里没有bbs主机记录,所以直接返回解析失败,不再进行转
发。这时,只要在内网DNS增加A记录 mail指向192.168.0.1或者11.11.11.11即可,但是考虑到网络速
度的问题通常将A记录指向内网IP 192.168.0.1.
解决方案:
这种方式的域名称设计,需要将发布的主机同时在公网和内网DNS上做解析。这样就可以避免上面的情况了。
第二种方式:内部域名作为外部域名的子域名
这种方式是微软首推的方式。
优点是:内网DNS和公网DNS的单独管理,不会有第一种方式的冲突。 内部要发布主机和网站的域名可以与公网域名保持一致,也可以不一致。
这里分几种情况介绍一下(假设内网域名为hq.example.com):
A. 内外网均可访问,且URL一致为"bbs.example.com":
这种情况下,只能在外网DNS发布。在外网DNS新增A记录:bbs 指向IP 11.11.11.11。内网DNS不做配置。
B. 仅内网发布,不允许外网访问,且URL为"bbs.example.com"
这种情况,也只能在外网DNS发布。 在外网DNS新增A记录:bbs 指向IP 192.168.0.1。内网DNS不做配置。
C. 内外网均可访问,且URL可以不一致
这种情况可以这样实现: 外网DNS增加A记录:bbs 指向IP 11.11.11.11;内网DNS增加A记录:bbs 指向IP 192.168.0.1,内网访问URL则为:bbs.hq.example.com(是不是不够人性化?),这样就不如第一种方式的实现看似无缝了。
第三种方式:内部域名作为独立域,与外部域名不存在任何关系
这种方式管理复杂,基本很少用。如果要实现内外网访问URL一致性,只能在公网DNS配置主机记录。内网发布的主机只能是:standalone.com 子域、子域的子域等方式。形如:*.*.standalone.com.
每个企业环境不一样,管理员个人习惯也各异,但是无论哪种方式基本都有手段实现我们的日常需要,这里仅作为前期参考,根据实际情况选择自己的内部域名称规划。因为一旦部署实施后,在想变化域名就很麻烦了。
本文转自marbury 51CTO博客,原文链接:http://blog.51cto.com/magic3/1342703,如需转载请自行联系原作者