Active directory выбор имени домена

Имена

Пара слов про именование доменов Active Directory

Стоимость домена второго уровня (например, bissquit.com) составляет чуть больше 500 рублей в год. Это очень мало даже для обычных граждан, как мы с вами, и это сущие копейки для компаний тем более. Свой домен я приобрел ещё задолго до того, как появилась идея «запилить» этот бложик. Это просто удобно. Возьмем даже удаленное подключение по rdp — я ввожу имя своего домена, вместо унылого ip-адреса.

В интернете на запрос «active directory domain best practices» почти на каждом сайте 1 2 3 написаны исчерпывающие рекомендации по именованию доменов AD и даны объяснения почему нужно сделать именно так. Давайте рассмотрим подробнее о каких рекомендациях идет речь:

Вы все поняли правильно, только один совет. Это все! Можно много рассуждать о деталях и мелких нюансах, но 80-90% рассуждений сводятся к одному единственному совету, озвученному выше. Все проблемы исходят из того, что человек знает, что так нужно делать, но не понимает почему нельзя или крайне не рекомендуется делать по-другому. С этого момента подробнее.

2. «Ок, покупаем реальное внешнее имя — my-company.com, также назовем и домен AD» — тоже не вариант. Возникнут проблемы с разрешением других ресурсов, расположенных на адресе my-company.com, например, веб-сайт компании. Да и к тому же ваши DNS-серверы не будут являться авторитативными для этого домена, хотя будут считать себя таковыми. Это тоже вызовет проблемы.

Есть и другие соображения касательно именований доменов, среди них создание аналогичного реальному домена но в другом TLD. Но мне кажется большого смысла так делать нет, ведь часть проблем все равно остается, а явных преимуществ в сравнении с использованием домена corp.my-company.com (имя взято для примера) просто нет.

Для любителей сделать все по-своему с недавнего времени добавятся ещё и проблемы с сертификатами 7 8 , поэтому смысла использовать внутренние имена сейчас вообще нет.

Вопрос выбора имени домена технически упирается в строчку, в которой вы пропишите имя при создании домена AD и ни во что более. Однако последствия, которые повлечет за собой неправильный выбор имени, в будущем доставят вам немало проблем и потому на этапе планирования очень важно все сделать качественно. Лишний раз неплохо почитать статьи бывалых админов 9 10 , но если личным бложикам вы не доверяете (это, кстати, правильный подход) и считаете себя умнее (а вот это неочень), то постарайтесь хотя бы почитать официальные рекомендации Microsoft 11 .

Источник

Как правильно назвать домен Active Directory

О том, как правильно назвать домен Active Directory задумывается рано или поздно каждый системный администратор. От этого, на первый взгляд не сильно важного момента, в будущем будет зависеть множество сэкономленных часов и нервов. Ведь вся планируемая инфраструктура, основанная на продуктах Microsoft, строится на фундаменте из Active Directory, который служит своего рода связующим звеном между ними. Давайте по порядку рассмотрим разные встречающиеся варианты именования домена Active Directory, начиная от самых худших и закончим самым оптимальным, с моей точки зрения, вариантом именования новоиспеченного домена.

Как называть нельзя

Single-Label Domain Name

Этот частный случай именования домена получается, когда ему дают DNS-имя какdomain (без точек). Отсюда и следует название такого способа именования домена Active Directory, как Single-Label. Чем плох такой способ? Тем, что полностью противоречит самой идеологии DNS, от которой зависит Active Directory. Компьютеры, включенные в такой однокомпонентный домен, требуют настройки для регистрации и разрешения в DNS-зонах с однокомпонентными именами. Windows Server 2008 выдает предупреждение при попытке создать такой домен Active Directory, а начиная с Windows Server 2008 R2 мастер dcpromo.exe заблокирует попытку создания Single-Label домена. Большинство приложений также не работают с таким типом доменов Active Directory, например Exchange Server. Более подробно о Single-Label доменах можно прочитать в статье базы знаний Microsoft.

Недопустимые символы в имени домена

Функционирование Active Directory целиком зависит от службы DNS, поэтому если в имени домена будут запрещенные символы, то нормальная работа такого домена будет невозможна. К таким символам, например, относятся: двоеточие ( : ), слэш ( / ) и бэк-слэш ( \ ), знак номера ( # ), собачка ( @ ), тильда (

Как домен Active Directory называть не стоит

Disjoint Namespace

В большинстве развертываний Active Directory основной DNS-суффикс входящих в домен компьютеров такой же, как и DNS-имя домена. Если они отличаются, то такая топология называется Disjoint Namespace. Она может возникнуть по нескольким причинам, например, в связи со слиянием нескольких предприятий. Пример Disjoint Namespace: NETBIOS-имя домена: CORP DNS-имя: central.it-band.net Отдельным случаем Disjoint Namespace является ситуация, когда NetBIOS-имя контроллера домена не совпадает с его DNS именем. Вообще, такие конфигурации полностью поддерживаются и нормально функционируют, но вносят много путаницы и неясностей, а также чреваты потенциальными граблями при настройке Exchange Server. Более детальную информацию о Disjoint Namespace можно получить в статье на Technet.

Читайте также:  Имена мужчин в японии

.local

Достоверно не известно, откуда пошла мода именовать домены Active Directory какsomecorp.local. Одна из версий такова, что в былые времена, на одном из докладов по Windows Server, выступающий продемонстрировал тестовую среду, где домен был назван именно таким образом. Для тестовых и учебных применений, такие имена вполне годятся. Но запускать такое в реальные условия лучше не стоит. Перечислим основные причины почему:

Что же остается?

ICANN

Чтобы избежать всех вышеперечисленных проблем, домен Active Directory следует именовать согласно глобальному официально зарегистрированному имени в ICANN(Internet Corporation for Assigned Names and Numbers). Пример именования домена согласно ICANN: it-band.net

Пара тонкостей

А теперь давайте предположим, что у нас задача создать инфраструктуру для компании IT-Band. Данная компания имеет свой веб сайт http://it-band.net и работники используют адреса электронной почты вида m.petrov@it-band.net И, основываясь на всей выше изложенной информации, мы решаем дать имя домену Active Directory как it-band.net. Но не будем торопиться это делать, потому что:

Как же тогда поступить? Все просто — использовать для домена Active Directory поддомен основного ICANN-имени. Например, corp.it-band.net. Вторым способом решения проблемы является использование другого дополнительного домена, например it-band.biz. Эти два способа полностью решают все описанные недостатки. Однако, первый способ имеет пару небольших преимуществ:

Источник

Соглашения об именовании в Active Directory для компьютеров, доменов, сайтов и подразделений

В этой статье описываются соглашения об именовании учетных записей компьютеров в Windows, NetBIOS-именах доменов, DNS-именах доменов, сайтах Active Directory и подразделениях, определенных в службе каталогов Active Directory.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер статьи базы знаний: 909264

Аннотация

В разделе обсуждаются допустимые символы для имен, минимальная и максимальная длины имен, зарезервированные имена, имена, имена которых не рекомендуются, а также общие рекомендации, основанные на поддержке Active Directory в малых, средних и крупных развертываниях.

Все объекты, названные в Active Directory или в AD/AM и LDS, подчиняются сопоставлению имен на основе алгоритма, который описан в разделе, не могут добавляться имя пользователя или имя объекта, отличающиеся только символом с диакритическим знаком.

В этой статье это соглашение об именовании применяется к именам компьютеров, подразделений и сайтов.

Имена компьютеров

NetBIOS-имена компьютеров

NetBIOS-имена компьютеров могут содержать все буквенно-цифровые символы, кроме расширенных символов, которые перечислены в запрещенных символах. Имена могут содержать точку, но имена не могут начинаться с точки.

NetBIOS-имена компьютеров не могут содержать следующие символы:

Имена могут содержать точку (.). Однако имя не может начинаться с точки. Использование имен, не являющихся DNS, с точками, разрешено в Microsoft Windows NT. Однако точки не следует использовать в Microsoft Windows 2000 или более поздних версиях Windows. При обновлении компьютера, NetBIOS-имя которого содержит точку, измените имя компьютера. Дополнительную информацию можно узнать в статье специальные символы.

В Windows 2000 и более поздних версиях Windows компьютеры, являющиеся членами домена Active Directory, не могут иметь имена, состоящие из полностью числа. Это ограничение обусловлено ограничениями DNS.

Дополнительные сведения о синтаксисе имени NetBIOS приведены в разделе синтаксис имени NetBIOS.

Минимальная длина имени: 1 символ

Максимальная длина имени: 15 символов

Шестнадцатый символ зарезервирован для определения функциональных возможностей, установленных на зарегистрированном сетевом устройстве.

Специальные символы: точка (.)

Символ точки разделяет имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, определяющая логические сети NetBIOS, которые выполняются в той же физической сети TCP/IP. Для работы протокола NetBIOS между компьютерами необходимо, чтобы на компьютерах был одинаковый идентификатор области NetBIOS и уникальные имена компьютеров.

Использование областей NetBIOS в именах является устаревшей конфигурацией и не должна использоваться в лесах Active Directory. Дополнительные сведения об областях NetBIOS приведены на следующих веб-сайтах:

Имена узлов DNS

DNS-имена могут содержать только буквы (A-Z), числовые символы (0-9), знак минуса (-) и точку (.). Символы периодов разрешены только в том случае, если они используются для разграничения компонентов доменных имен.

В системе доменных имен (DNS) Windows 2000 и в службе DNS Windows Server 2003 поддерживается использование символов Юникода. Другие реализации DNS не поддерживают символы Юникода. Избегайте использования символов Юникода, если запросы будут передаваться на серверы, на которых используются другие реализации DNS, отличные от Майкрософт.

Читайте также:  Как в имени в вк добавить символ

Для получения дополнительных сведений посетите следующие веб-сайты:

Имена узлов DNS не могут содержать следующие символы:

пустое пространство (пустое)

Подчеркивание имеет особую роль, так как она разрешена для первого символа в записях SRV по определению RFC, но новые DNS-серверы также могут разрешить его в любой части имени. Для получения дополнительных сведений см. раздел соблюдение ограничений имен для узлов и доменов.

Все символы сохраняют форматирование регистра, за исключением стандартного кода для символов ASCII.

Первый символ должен быть алфавитным или числовым.

Последним символом не должен быть знак минус или точка.

В Windows 2000 и более поздних версиях Windows компьютеры, являющиеся членами домена Active Directory, не могут иметь имена, состоящие из полностью числа. Это ограничение обусловлено ограничениями DNS.

При регистрации имени узла DNS символ дефиса (-) заменяется на недопустимые символы.

Минимальная длина имени: 2 символа

Максимальная длина имени: 63 символов

Максимальная длина имени узла и полного доменного имени (FQDN) составляет 63 байт на метку и 255 байт на полное доменное имя.

Windows не разрешает имена компьютеров, длина которых превышает 15 символов, и невозможно указать имя узла DNS, отличающееся от имени узла NETBIOS. Однако вы можете создать заголовки узлов для веб-сайта, размещенного на компьютере, а затем в соответствии с рекомендациями.

В Windows 2000 и Windows Server 2003 максимальное имя узла и полное доменное имя используют стандартные ограничения длины, упомянутые ранее, с добавлением поддержки UTF-8 (Юникод). Так как некоторые символы в кодировке UTF-8 превышают один октет, размер невозможно определить, выполнив подсчет символов.

Для контроллеров домена должно быть задано полное доменное имя размером менее 155 байт.

Зарезервированные имена для каждого документа RFC 952

Дополнительные сведения см. в разделе rfc952.

Зарезервированные имена в Windows

При создании имен для DNS-компьютеров в новой инфраструктуре DNS Windows Server 2003 используйте следующие рекомендации:

Доменные имена

Ниже приведены сведения об доменных именах NetBIOS и доменных именах DNS.

NetBIOS-имена доменов

NetBIOS-имена доменов могут содержать все буквенно-цифровые символы, кроме расширенных символов, которые перечислены в запрещенных символах. Имена могут содержать точку, но имена не могут начинаться с точки.

NetBIOS-имена компьютеров не могут содержать следующие символы:

Имена могут содержать точку (.). Однако имя не может начинаться с точки. Использование имен, не являющихся DNS, с точками, разрешено в Microsoft Windows NT. Однако точки не следует использовать в доменах Active Directory. Если вы обновляете домен, NetBIOS-имя которого содержит точку, измените его имя, переполнив домен на новую структуру доменов. Не используйте точки в новых доменных именах NetBIOS.

В Windows 2000 и более поздних версиях Windows компьютеры, являющиеся членами домена Active Directory, не могут иметь имена, состоящие из полностью числа. Это ограничение обусловлено ограничениями DNS.

Минимальная длина имени: 1 символ

Максимальная длина имени: 15 символов.

Шестнадцатый символ зарезервирован для определения функциональных возможностей, установленных на зарегистрированном сетевом устройстве.

Зарезервированные имена в Windows

Имена обновленного домена могут содержать зарезервированное слово. Однако отношения доверия с другими доменами не будут выполняться, если это справедливо.

Специальные символы: точка (.).

Символ точки разделяет имя на идентификатор области NetBIOS и имя компьютера. Идентификатор области NetBIOS — это необязательная строка символов, определяющая логические сети NetBIOS, которые выполняются в той же физической сети TCP/IP. Для работы протокола NetBIOS между компьютерами необходимо, чтобы на компьютерах был одинаковый идентификатор области NetBIOS и уникальные имена компьютеров.

Использование областей NetBIOS в именах является устаревшей конфигурацией и не должна использоваться в лесах Active Directory. Нет проблем, связанных с этим, но могут быть приложения, которые фильтруют имя и предполагают DNS-имя при обнаружении точки.

DNS-имена доменов

DNS-имена могут содержать только буквы (A-Z), числовые символы (0-9), знак минуса (-) и точку (.). Символы периодов разрешены только в том случае, если они используются для разграничения компонентов доменных имен.

В службе доменных имен (DNS) Windows 2000 и в службе DNS Microsoft Windows Server 2003 поддерживается использование символов Юникода. Другие реализации DNS не поддерживают символы Юникода. Избегайте использования символов Юникода, если запросы будут передаваться на серверы, на которых используются другие реализации DNS, отличные от Майкрософт.

Для получения дополнительных сведений посетите указанные ниже веб-сайты.

DNS-имена доменов не могут содержать следующие символы:

пустое пространство (пустое)

Подчеркивание имеет особую роль, так как она разрешена для первого символа в записях SRV по определению RFC, но новые DNS-серверы также могут разрешить его в любой части имени. Для получения дополнительных сведений см. раздел соблюдение ограничений имен для узлов и доменов.

При повышении уровня нового домена появляется предупреждение о том, что символ подчеркивания может вызывать проблемы с некоторыми DNS-серверами, но он позволяет создать домен.

Читайте также:  Женские имена для рожденных в декабре по святцам

Все символы сохраняют форматирование регистра, кроме символов ASCII.

Первый символ должен быть алфавитным или числовым.

Последним символом не должен быть знак минус или точка.

Минимальная длина имени: 2 символа

Максимальная длина имени: 255 символов

Пример пути в SYSVOL содержит:

Может содержать ввод пользователя, такой как имя файла сценария входа, поэтому он также может иметь значительную длину.

Доменное имя AD FQDN отображается в пути дважды, так как длина имени домена AD FQDN ограничена 64 символами.

В Windows 2000 и Windows Server 2003 максимальное имя узла и полное доменное имя используют стандартные ограничения длины, упомянутые ранее, с добавлением поддержки UTF-8 (Юникод). Так как некоторые символы в кодировке UTF-8 превышают один октет, размер невозможно определить, выполнив подсчет символов.

Доменные пространства имен с одной меткой

К проблемам, связанным с однокомпонентными пространствами имен, относятся следующие:

Однокомпонентные DNS-имена невозможно зарегистрировать с помощью регистратора сети Интернет.

Домены, имеющие DNS-имена с одной меткой, требуют дополнительной настройки.

Служба DNS-сервера не может быть использована для обнаружения контроллеров домена в доменах с одной меткой DNS-имен.

По умолчанию члены домена под управлением Windows Server 2003, Windows XP и члены домена Windows 2000 не выполняют динамическое обновление зон DNS с одной меткой.

Несвязные пространства имен

Как происходят несвязные пространства имен:

Основной контроллер домена Windows NT 4,0 обновляется до контроллера домена Windows 2000 с помощью исходной версии Windows 2000. В элементе «сеть» на панели управления определены несколько DNS-суффиксов.

Домен переименовывается, когда лес находится на функциональном уровне леса Windows Server 2003, а основной DNS-суффикс не изменяется в соответствии с новым DNS-именем домена.

Влияние несвязного пространства имен:

Контроллер домена динамически регистрирует записи расположения службы (SRV) в зоне DNS, соответствующие доменному имени DNS. Тем не менее, контроллер домена регистрирует свои записи узла в зоне DNS, соответствующей его основному DNS-суффиксу.

Дополнительные сведения о несвязанном пространстве имен приведены в следующих статьях:

Другие факторы

Леса, подключенные к Интернету

Пространство имен DNS, подключенное к Интернету, должно быть поддоменом домена верхнего или второго уровня в пространстве имен DNS Интернета.

Максимальное число доменов в лесу

В Windows 2000 максимальное число доменов в лесу равно 800. В Windows Server 2003 и более поздних версиях максимальное число доменов в режиме работы леса 2 — 1200. Это ограничение является ограничением многозначных несвязанных атрибутов в Windows Server 2003.

Так как DNS-имена всех узлов, которым требуется разрешение имен, включают в себя доменное имя DNS в Интернете, выберите доменное имя DNS в Интернете, которое короче и легко запоминается. Так как DNS является иерархической, доменные имена DNS увеличиваются при добавлении поддоменов в организацию. Короткие доменные имена упрощают запоминание имен компьютеров.

Не используйте имя существующей организации или продукта в качестве имени домена. Вы можете выполнить конфликт имен позже.

Не используйте универсальное имя, например, domain. localhost. Другая компания, с которой вы выполняете слияние в течение нескольких лет, может выполнить такой же анализ.

Не используйте аббревиатуру или аббревиатуру в качестве доменного имени. Пользователи могут столкнуться с трудностями при распознавании подразделения, представленного акронимом.

Избегайте использования символов подчеркивания (_) в доменных именах, так как приложения могут быть в формате RFC обедиент и отклонять имя, но не будут устанавливаться и работать в домене, а также могут возникнуть проблемы с устаревшими DNS-серверами.

Не используйте имя подразделения или подразделения в качестве имени домена. Филиалы и другие подразделения изменятся, и эти имена доменов могут быть недостоверными или устаревают.

Не используйте географические имена, которые трудно запомнить и запомнить.

Не следует расширять иерархию доменных имен DNS более пяти уровней из корневого домена. Вы можете уменьшить затраты на администрирование, ограничивая область иерархии доменных имен.

Если вы развертываете DNS в частной сети, и вы не планируете создавать внешнее пространство имен, зарегистрируйте доменное имя DNS, созданное для внутреннего домена. В противном случае имя может оказаться недоступным при попытке использовать его в Интернете или при подключении к сети, подключенной к Интернету.

Имена сайтов

DNS-имена могут содержать только буквы (A-Z), числовые символы (0-9), знак минуса (-) и точку (.). Символы периодов разрешены только в том случае, если они используются для разграничения компонентов доменных имен.

В системе доменных имен (DNS) Windows 2000 и в службе DNS Windows Server 2003 поддерживается использование символов Юникода. Другие реализации DNS не поддерживают символы Юникода. Избегайте использования символов Юникода, если запросы будут передаваться на серверы, на которых используются другие реализации DNS, отличные от Майкрософт.

Для получения дополнительных сведений посетите указанные ниже веб-сайты.

DNS-имена не могут содержать следующие символы:

Источник

Оцените статью
Имя, Названия, Аббревиатуры, Сокращения
Добавить комментарий

Adblock
detector