Выбор структуры имен Active Directory

Выполняя работы по аудиту компьютерных систем или просто консультируя своих клиентов, я часто сталкиваюсь с одним и тем же вопросом, который мне задают системные администраторы: «Как правильно выбрать структуру имен Active Directory?» Ниже я изложу возможные варианты и кратко расскажу на что следует обратить внимание применяя каждый из них.

При проектировании структуры имен AD у нас есть 4 пути:

  1. Использовать внешнее пространство имен DNS в качестве внутреннего (например: domain.ru внутри и снаружи);
  2. Использовать разные пространства имен (например: domain.ru снаружи, а domain.local внутри);
  3. Использовать делегированный домен из существующего внешнего пространства имен (например: domain.ru для внешнего использования, а ad.domain.ru для внутреннего);
  4. Использовать какой-нибудь дочерний домен в качестве корня (root) AD. Этот метод позволит полностью изолировать AD в домене или дереве доменов.

Дальше каждый решает сам для себя, что ему делать. В зависимости от того что надо получить и уже существующей структуры DNS, можно использовать каждый из выше перечисленных методов.

В первом случае надо уделить внимание тому, чтобы внутренняя структура имен не была доступна снаружи.

Второй способ удобен тем, что:

  1. Простая безопасность и управление ресурсами;
  2. Можно не менять существующие зоны DNS и общую топологию DNS;
  3. Имена внутренних ресурсов не доступны из интернет.

Третий случай аналогичен второму, он оказывает минимальное влияние на существующее пространство имен DNS, запрещает доступ к внутреннему пространству имен со стороны внешних клиентов, плюс позволяет избежать некоторых неудобств связанных с .local (в случае использования Mac OS X на клиентских компьютерах).

Пожалуйста, оцените статью:
(всего оценок: 1, средняя: 5,00 из 5)