Про те, як правильно назвати домен Active Directory замислюється рано чи пізно кожен системний адміністратор. Від цього, на перший погляд не сильно важливого моменту, в майбутньому буде залежати безліч зекономлених годин і нервів. Адже вся планована інфраструктура, заснована на продуктах Microsoft, будується на фундаменті з Active Directory, який служить свого роду сполучною ланкою між ними. Давайте по порядку розглянемо різні зустрічаються варіанти іменування домену Active Directory, починаючи від найгірших і закінчимо найоптимальнішим, з моєї точки зору, варіантом іменування новоспеченого домену.
Як називати не можна
Single-Label Domain Name
Неприпустимі символи в імені домена
Функціонування Active Directory цілком залежить від служби DNS, тому якщо в імені домена будуть заборонені символи, то нормальна робота такого домену буде неможлива. До таких символів, наприклад, відносяться: двокрапка (.), Слеш (/) і бек-слеш (\), знак номера (#), собачка (@), тильда (
Як домен Active Directory називати не варто
Disjoint Namespace
У більшості розгортання Active Directory основний DNS-суфікс входять в домен комп'ютерів такої ж, як і DNS-ім'я домену. Якщо вони відрізняються, то така топологія називається Disjoint Namespace. Вона може виникнути з кількох причин, наприклад, у зв'язку зі злиттям декількох підприємств.
Приклад Disjoint Namespace: NETBIOS-ім'я домену: CORP DNS-ім'я: central.it-band.net
Окремим випадком Disjoint Namespace є ситуація, коли NetBIOS-ім'я контролера домену не збігається з його DNS ім'ям. Взагалі, такі конфігурації повністю підтримуються і нормально функціонують, але вносять багато плутанини і неясностей, а також загрожують потенційними граблями під час налаштування Exchange Server. Більш детальну інформацію про Disjoint Namespace можна отримати в статті на Technet.
Достовірно невідомо, звідки пішла мода іменувати домени Active Directory як somecorp.local. Одна з версій така, що в минулі часи, на одній із доповідей по Windows Server, який виступає продемонстрував тестову середу, де домен був названий саме таким чином. Для тестових і навчальних застосувань, такі імена цілком годяться. Але запускати таке в реальні умови краще не варто. Перелічимо основні причини чому:
Що ж залишається?
Щоб уникнути всіх перерахованих вище проблем, домен Active Directory слід іменувати згідно глобальному офіційно зареєстрованому імені в ICANN (Internet Corporation for Assigned Names and Numbers). Приклад іменування домену згідно ICANN: it-band.net
пара тонкощів
Як же тоді бути? Все просто - використовувати для домену Active Directory піддомен основного ICANN-імені. Наприклад, corp.it-band.net. Другим способом вирішення проблеми є використання іншого додаткового домену, наприклад it-band.biz. Ці два способи повністю вирішують всі описані недоліки. Однак, перший спосіб має пару невеликих переваг:
- Все зручно консолідовано в одне доменне ім'я.
- Не потрібно оплачувати другий домен ім'я.
Згідно всьому вище викладеному, рекомендую використовувати для іменування домену Active Directory дочірнє ім'я основного домену компанії, таке як corp.it-band.net