Вчора, до нас в студію, надійшов лист від нашого постійного Новомосковсктеля Андрія, з питанням:
Із задоволенням Новомосковськ ваш блог, багато корисного для себе дізнався, хотів дізнатися вашу думку з приводу імені домена Active Directory, багато пишуть що називати варто його * організація * .local, а хтось пише що варто назвати так-же як і домен.
Давайте коротко розберемося яке ж краще використовувати ім'я при найменуванні домену всередині організації.
Як показує практика вибір імені домена може поставити в ступор навіть досвідченого системного адміністратора. При першому запуску утиліти dcpromo ім'я домену буде згенеровано автоматично і випадковим чином, якщо вже на цьому етапі не привести ім'я домену в відповідність необхідним правилам, то в майбутньому змінити ім'я домену буде складніше. Давайте розглянемо можливі варіанти в порядку їх популярності.
1. Домен з ім'ям example.local
Лідером нашого хіт-параду є іменування домену із закінченням на local. Існують і інші варіації на цю тему, наприклад test. firma. factory. nn. loc. і так далі. Зараз навіть уже й не згадаєш звідки пішла така любов, у всіх своїх книгах компанія Microsoft завжди використовує свої іменування виду contoso.com. де ми чітко бачимо формат іменування домену. Однак протягом майже 10 років домен .local займав лідируючі позиції. Ситуація стала вирівнюватися з приходом сервісів використовують в своїй роботі SSL сертифікати. Де використання доменів «пофіг і так зійде» стає неможливим. Дивіться, припустимо, що ваша компанія використовує всередині організації Exchange server. яке вимагає ssl сертифікат для шифрування клієнтських підключень. Згідно з вашим сценарієм для реалізації цього завдання вам потрібні сертифікати зовнішнього центру сертифікації. в якому необхідно вказати всі імена серверів використовуваних для зовнішнього підключення. Здавалося б що такого, записуємо все імена серверів і подаємо заявку на випуск сертифікатів, але є одне але. З ім'ям такого домену ви не зможете пройти валідацію. так як домен «пофіг і так зійде» не існує і на спробу пояснити зовнішньому центру сертифікації, що вам в SAN потрібно засунути FQDN ім'я неіснуючого домену отримаєте м'який відмова:
It's not possible, we issue only certificates for real domain names.
Але існує ще одна неприємність. Використання доменного імені не належить вам в імені домена може привести до плачевних наслідків. Уявіть ситуацію якщо зона local матиме статус публічної. Як зона com або ru. Далі я думаю продовжувати не варто 🙂
2. Ім'я домену збігається з зовнішнім ім'ям домену
3. Ім'я домену з одного слова
Мабуть самий не правильний варіант з наведених вище. Однорівневі домени: Single-label domain - це домен, який містить тільки одну складову. По всій видимості їх почали використовувати за часів NT, коли компанія Microsoft перейняла вдалий досвід компанії Novell. Так склалося, що спочатку я був адміністратором FreeBSD і великого парку серверів NetWare починаючи з версії 4.11, так ось в ті стародавні часи NetWare використовувала в своїй роботі Bindery, яка як раз імена схему одноуровнего домену. яку потім і перейняла компанія Microsoft.
Best practices
Пора підвести підсумок. Яке ж іменування домену використовувати? Тільки домен третього рівня в домені яким ви володієте. Не варто використовувати чужі красивіші доменні імена :-). Приклад такого домену ви можете побачити нижче: