Как правильно назвать домен Active Directory

О том, как правильно назвать домен Active Directory задумывается рано или поздно каждый системный администратор. От этого, на первый взгляд не сильно важного момента, в будущем будет зависеть множество сэкономленных часов и нервов. Ведь вся планируемая инфраструктура, основанная на продуктах Microsoft, строится на фундаменте из Active Directory, который служит своего рода связующим звеном между ними. Давайте по порядку рассмотрим разные встречающиеся варианты именования домена Active Directory, начиная от самых худших и закончим самым оптимальным, с моей точки зрения, вариантом именования новоиспеченного домена.

Как называть нельзя

Single-Label Domain Name

Этот частный случай именования домена получается, когда ему дают DNS-имя какdomain (без точек). Отсюда и следует название такого способа именования домена Active Directory, как Single-Label. Чем плох такой способ? Тем, что полностью противоречит самой идеологии DNS, от которой зависит Active Directory. Компьютеры, включенные в такой однокомпонентный домен, требуют настройки для регистрации и разрешения в DNS-зонах с однокомпонентными именами. Windows Server 2008 выдает предупреждение при попытке создать такой домен Active Directory, а начиная с Windows Server 2008 R2 мастер dcpromo.exe заблокирует попытку создания Single-Label домена. Большинство приложений также не работают с таким типом доменов Active Directory, например Exchange Server. Более подробно о Single-Label доменах можно прочитать в статье базы знаний Microsoft.

Недопустимые символы в имени домена

Функционирование Active Directory целиком зависит от службы DNS, поэтому если в имени домена будут запрещенные символы, то нормальная работа такого домена будет невозможна. К таким символам, например,  относятся: двоеточие ( : ), слэш ( / ) и бэк-слэш ( \ ), знак номера ( # ), собачка ( @ ), тильда ( ~ ). Так же, согласно RFC 1123, не следует использовать в имени домена знак подчеркивания ( _ ). Это сулит большие проблемы, например, нельзя установить Exchange Server 2007 и выше. Единственные символы, которые можно использовать в имени домена Active Directory это буквы, цифры, знак тире ( — ) и точка ( . ), но она не может стоять в начале или в конце имени домена. Новые версии Windows Server не позволят вам дать имя домену если оно не соответствует стандарту.

Как домен Active Directory называть не стоит

Disjoint Namespace

В большинстве развертываний Active Directory основной DNS-суффикс входящих в домен компьютеров такой же, как и DNS-имя домена. Если они отличаются, то такая топология называется Disjoint Namespace. Она может возникнуть по нескольким причинам, например, в связи со слиянием нескольких предприятий.Пример Disjoint Namespace: NETBIOS-имя домена: CORP DNS-имя: central.it-band.net Отдельным случаем Disjoint Namespace является ситуация, когда NetBIOS-имя контроллера домена не совпадает с его DNS именем. Вообще, такие конфигурации полностью поддерживаются и нормально функционируют, но вносят много путаницы и неясностей, а также чреваты потенциальными граблями при настройке Exchange Server. Более детальную информацию о Disjoint Namespace можно получить в статье на Technet.

.local

Достоверно не известно, откуда пошла мода именовать домены Active Directory какsomecorp.local. Одна из версий такова, что в былые времена, на одном из докладов по Windows Server, выступающий продемонстрировал тестовую среду, где домен был назван именно таким образом. Для тестовых и учебных применений, такие имена вполне годятся. Но запускать такое в реальные условия лучше не стоит. Перечислим основные причины почему:

• Самая важная причина не называть домен Active Directory таким образом состоит в том, что вы никак не сможете подтвердить владение им для получения публичного SSL-сертификата. На данный момент существует еще лазейка с использованием поля SAN (Subject Alternative Name) в сертификатах и некоторых CA, например Comodo, которые позволяют в это самое поле ставить такие домены. Но в 2015 году этот путь будет прикрыт.
• Такое имя невозможно использовать из внешней сети, а значит и получить доступ, например, к почте.
• Данный способ именования вступает в противоречие с глобальным DNS, так как не гарантирует его уникальность что приводит к потенциальным коллизиям.

Что же остается?

ICANN

Чтобы избежать всех вышеперечисленных проблем, домен Active Directory следует именовать согласно глобальному официально зарегистрированному имени в ICANN(Internet Corporation for Assigned Names and Numbers). Пример именования домена согласно ICANN: it-band.net

Пара тонкостей

А теперь давайте предположим, что у нас задача создать инфраструктуру для компании IT-Band. Данная компания имеет свой веб сайт http://it-band.net и работники используют адреса электронной почты вида m.petrov@it-band.net  И, основываясь на всей выше изложенной информации, мы решаем дать имя домену Active Directory как it-band.net. Но не будем торопиться это делать, потому что:

• Набрав в браузере компьютера, находящегося в таком домене, адрес веб сайта нашей компании, мы попадем совсем не на него, а на один из контроллеров домена.
• Вам придется следить за двумя зонами в DNS — публичной и внутренней, чтобы DNS-записи существовали в обоих и были синхронизированы.
• Появляется вероятность образования коллизий между внешними и внутренними ресурсами в таком домене.

Как же тогда поступить? Все просто — использовать для домена Active Directory поддомен основного ICANN-имени. Например, corp.it-band.net. Вторым способом решения проблемы является использование другого дополнительного домена, например it-band.biz. Эти два способа полностью решают все описанные недостатки. Однако, первый способ имеет пару небольших преимуществ:

• Все удобно консолидировано в одно доменное имя.
• Не нужно оплачивать второе доменное имя.

Согласно всему выше изложенному, рекомендую использовать для именования домена Active Directory дочернее имя основного домена компании, такое как corp.it-band.net

Что касается электронной почты в таком домене, то для использования адресов видаm.petrov@it-band.net в Exchange Server достаточно создать дополнительный обслуживаемый домен it-band.net, а так же политику адресов электронной почты видаalias@it-band.net. Также, для удобства пользователей, можно добавить к UPN-суффиксам домена corp.it-band.net почтовый домен it-band.net и учетные записи пользователей уже создавать с UPN, равным их почтовому адресу. Это также решит все проблемы со входом пользователя в Lync, который перестанет спрашивать sip-адрес пользователя.

Добавление суффиксов UPN