Nomeando uma nova floresta do Active Directory - por que o DNS com horizonte dividido não é recomendado?

Felizmente , todos sabemos quais são as recomendações para nomear uma floresta do Active Directory e são bastante simples. Ou seja, pode ser resumido em uma única frase.

Use um subdomínio de um nome de domínio registrado e existente e escolha um que não será usado externamente. Por exemplo, se eu incorporar e registrar o hopelessn00b.comdomínio, minha floresta interna do AD deve ser nomeada internal.hopelessn00b.comou ad.hopelessn00b.comou corp.hopelessn00b.com.

Há razões esmagadoramente convincentes para evitar o uso tlds "falsos" ou nomes de domínio de rótulo único , mas eu estou tendo dificuldade em encontrar razões igualmente convincentes para evitar o uso do domínio raiz ( hopelessn00b.com) como o meu nome de domínio e usar um subdomínio, como corp.hopelessn00b.comem vez . Realmente, a única justificativa que consigo encontrar é que acessar o site externo a partir do interno requer um A nameregistro DNS e digitar www.na frente do nome do site em um navegador, o que é bastante "meh" no que diz respeito aos problemas.

Então, o que estou perdendo? Por que é tão melhor usar ad.hopelessn00b.comcomo meu nome de floresta do Active Directory hopelessn00b.com?

Apenas para constar, é realmente meu empregador que precisa ser convencido - o chefe está revendendo e, depois de me dar o aval para criar uma nova floresta do AD denominada corp.hopelessn00b'semployer.compara nossa rede interna, ele quer ficar com uma floresta do AD denominada hopelessn00b'semployer.com( o mesmo que nosso domínio registrado externamente). Espero conseguir alguma razão convincente ou razões pelas quais a melhor prática seja a melhor opção, para que eu possa convencê-lo disso ... porque parece mais fácil do que a raiva sair e / ou encontrar um novo emprego, pelo menos por o momento. No momento, as "práticas recomendadas da Microsoft" e o acesso interno ao site público da nossa empresa não parecem estar diminuindo, e eu estou realmente , realmente , realmente esperando que alguém aqui tenha algo mais convincente.

Tanto representante para ser tido. Venha para mim precioso.

Ok, então está muito bem documentado pela Microsoft que você não deve usar o horizonte dividido ou um TLD inventado, como já vinculou muitas vezes (grite no meu blog!). Existem algumas razões para isso.

1. O wwwproblema que você apontou acima. Irritante, mas não um disjuntor.

2. Obriga a manter registros duplicados para todos os servidores públicos que também são acessíveis internamente, não apenas www. mail.hopelessnoob.comé um exemplo comum. Em um cenário ideal, você teria uma rede de perímetro separada para coisas como mail.hopelessnoob.comou publicwebservice.hopelessnoob.com. Com algumas configurações, como um ASA com interfaces internas e externas , você precisa de DNS interno ou de horizonte dividido de qualquer maneira, mas para organizações maiores com uma rede de perímetro legítima em que seus recursos voltados para a Web não estão atrás de um limite NAT em forma de pinça - isso causa trabalho desnecessário.

3. Imagine este cenário - você é hopelessnoob.cominterna e externamente. Você tem uma corporação com a qual se associou example.come elas fazem a mesma coisa - divida o horizonte internamente com o AD e com o espaço para nome DNS acessível ao público. Agora, você configura uma VPN site a site e deseja que a autenticação interna para que a confiança atravesse o túnel enquanto tiver acesso a seus recursos públicos externos saindo pela Internet. É quase impossível sem roteamento de política incrivelmente complicado ou manter sua própria cópia da zona DNS interna - agora você acabou de criar um conjunto adicional de registros DNS para manter. Então você tem que lidar com hairpin no seu final efinal, roteamento de políticas / NAT e todos os tipos de outros truques. (Eu estava realmente nessa situação com um anúncio que herdei).

4. Se você implantar o DirectAccess , isso simplifica drasticamente suas políticas de resolução de nomes - provavelmente também é verdade para outras tecnologias VPN de túnel dividido.

Alguns são casos extremos, outros não, mas todos são facilmente evitados. Se você tem a capacidade de fazer isso desde o início, é melhor fazê-lo da maneira certa para não encontrar um desses em uma década.

Esta declaração: "Realmente, a única justificativa que consigo encontrar é que o acesso interno ao site externo requer um registro DNS SRV e digitar www. Na frente do nome do site em um navegador" não é verdadeiro.

Isso significa que você precisa manter uma cópia de todos os seus registros públicos nos servidores DNS do AD, o que pode causar problemas, principalmente se você não o fizer corretamente - perca alguns, etc. Se alguém quiser acessar a ftp.company. com, mas você esquece de criar o alias no DNS interno (ou não o automatizou corretamente), as pessoas internas não conseguem acessar o site público de FTP.

Isso está bem detalhado na pergunta a que você vinculou: Práticas recomendadas de nomeação do Windows Active Directory?

Se a manutenção de várias cópias de suas zonas DNS é um problema fácil para você resolver corretamente, para sempre, suponho que você possa fazer o que quiser. Até que a MS mude algo que a quebre. Você pode apenas seguir as recomendações deles.

Eu não me importo o suficiente com o representante para criar uma resposta longa hoje ... então vou mantê-la curta.

Eu costumava ficar bem com o split-dns e o implementava várias vezes até que Evan e Mark me convencessem do contrário. Sinceramente, NÃO é que isso não possa ser feito ... pode, e alguns podem ficar bem com isso (apesar da sobrecarga e do trabalho feito para isso).

Duas coisas específicas surgiram anos atrás para mim que solidificaram NÃO usá-lo:

1. Como você apontou na sua pergunta, você simplesmente não pode permitir que usuários internos acessem seu site externo apenas pelo nome do domínio. Não pergunte por que isso era tão importante, mas tínhamos usuários internos que ficariam furiosos ao digitar apenas o nome de domínio em um navegador sem wwwabrir o site real, pois o registro do domínio corresponde ao domínio do AD e não é fácil para chegar wwwe NÃO PODE SER INTERNO.
2. Problemas no Exchange - A descoberta automática do Exchange pode falhar ao obter as informações e solicitará um erro. Isso pode acontecer tanto interna quanto externamente. Isso ficou ainda mais aparente quando começamos a ter "caixas de correio de floresta externa" em nossa organização do Exchange e eles não viram o mesmo DNS interno que o nosso.

Espero que ajude.