Выполняя работы по аудиту компьютерных систем или просто консультируя своих клиентов, я часто сталкиваюсь с одним и тем же вопросом, который мне задают системные администраторы: «Как правильно выбрать структуру имен Active Directory?» Ниже я изложу возможные варианты и кратко расскажу на что следует обратить внимание применяя каждый из них.
При проектировании структуры имен AD у нас есть 4 пути:
- Использовать внешнее пространство имен DNS в качестве внутреннего (например: domain.ru внутри и снаружи);
- Использовать разные пространства имен (например: domain.ru снаружи, а domain.local внутри);
- Использовать делегированный домен из существующего внешнего пространства имен (например: domain.ru для внешнего использования, а ad.domain.ru для внутреннего);
- Использовать какой-нибудь дочерний домен в качестве корня (root) AD. Этот метод позволит полностью изолировать AD в домене или дереве доменов.
Дальше каждый решает сам для себя, что ему делать. В зависимости от того что надо получить и уже существующей структуры DNS, можно использовать каждый из выше перечисленных методов.
В первом случае надо уделить внимание тому, чтобы внутренняя структура имен не была доступна снаружи.
Второй способ удобен тем, что:
- Простая безопасность и управление ресурсами;
- Можно не менять существующие зоны DNS и общую топологию DNS;
- Имена внутренних ресурсов не доступны из интернет.
Третий случай аналогичен второму, он оказывает минимальное влияние на существующее пространство имен DNS, запрещает доступ к внутреннему пространству имен со стороны внешних клиентов, плюс позволяет избежать некоторых неудобств связанных с .local (в случае использования Mac OS X на клиентских компьютерах).
(всего оценок: 1, средняя: 5,00 из 5)