Вопросы Теги

Именование нового леса Active Directory - почему расщепленный горизонт DNS не рекомендуется?

CDN воксела не имеет многих граничных местоположений по сравнению с кем-то как Akamai или LimeLight или даже MaxCDN. Таким образом, задержка, вероятно, будет хуже, который делает ее менее привлекательной для общего ускорения сайта. Но задержка имеет значение мало для потокового видео, поскольку соединение наверху является в основном нулем по сравнению с остальной частью трафика. Более дешевый CDNs может иметь много маслобойки кэша в их (меньше и меньший) граничные узлы, означая, не ли Ваше содержание действительно популярно, Вы будете видеть много запросов источника и худшей производительности.

Что касается личного опыта с VoxCAST, высосанная шахта, но не из-за их сети. Я не получил это далеко. Когда я пытался создать учетную запись несколько месяцев назад, процесс регистрации был ужасно поврежден. Я продолжал попроситься повторно входить в систему и сказал паролю, что только что сбросил использование их сайта, было неправильным. Когда я наконец вошел после обращения за поддержкой их панель управления была так редка и нечетно вела себя, я думал, что это была проблема перекрестного браузера, но вещи были испорчены даже в IE8. Я в конечном счете просто сдался, решив, что разочарование не стоило того, когда существует столько альтернатив.

Аккуратная вещь о CDNs состоит в том, что легко протестировать несколько из них одновременно на живом сайте. Это может быть сделано любое количество путей. Мы обычно выкладываем URL к тесту CDN на наших исходных страницах приблизительно 1% посетителей (на основе случайным образом сгенерированного cookie) и наблюдаем метрики, которые CDN обеспечивает, сравнивая их с тем, что мы знаем, что те метрики должны быть основаны на остальной части нашего трафика. Мы используем что-то pingdom для отслеживания время работы и задержку всех наших учетных записей CDN от большого количества точек наблюдения во всем мире. Вы должны всегда настраиваться с несколькими CDNs и готовиться изменяться в зеркальном отражении переключателя приложения или DNS. SimpleCDN пошел пока в основном в течение ночи; даже LimeLight и Akamai не неуязвимы для всех сетевых проблем.

23
задан 13 April 2017 в 15:14
3 ответа

So much rep to be had. Come to me precious.

Ok, so it's pretty well documented by Microsoft that you shouldn't use split-horizon, or a made up TLD as you've linked to many times (shout out to my blog!). There are a few reasons for this.

  1. The www problem that you've pointed out above. Annoying, but not a deal breaker.

  2. It forces you to maintain duplicate records for all public-facing servers that are also accessible internally, not just www. mail.hopelessnoob.com is a common example. In an ideal scenario, you'd have a separate perimeter network for things like mail.hopelessnoob.com or publicwebservice.hopelessnoob.com. With some configurations, like an ASA with Internal and External interfaces, you either need inside-inside NAT or split-horizon DNS anyway but for larger organizations with a legitimate perimeter network where your web-facing resources aren't behind a hairpin NAT boundary - this causes unnecessary work.

  3. Imagine this scenario - You're hopelessnoob.com internally and externally. You have a corporation that you're partnering with called example.com and they do the same thing - split horizon internally with their AD and with their publicly accessible DNS namespace. Now, you configure a site-to-site VPN and want internal authentication for the trust to traverse the tunnel while having access to their external public resources to go out over the Internet. It's next to impossible without unbelievably complicated policy routing or holding your own copy of their internal DNS zone - now you've just created an additional set of DNS records to maintain. So you have to deal with hairpinning at your end and their end, policy routing/NAT, and all kinds of other trickery. (I was actually in this situation with an AD that I inherited).

  4. If you ever deploy DirectAccess, it drastically simplifies your name resolution policies - this is likely also true for other split-tunnel VPN technologies as well.

Some of these are edge cases, some are not, but they're all easily avoided. If you have the ability to do this from the beginning, might as well do it the right way so that you don't run into one of these in a decade.

24
ответ дан 28 November 2019 в 20:20

I don't care enough about the rep to create a long answer today...so I'll keep it short.

I used to be fine with split-dns and implemented it multiple times until Evan and Mark convinced me otherwise. It's honestly NOT that it cannot be done...it can, and some might be just fine with it (despite the overhead and work done for it).

2 specific things came up years ago for me that solidified NOT using it:

  1. Like you pointed out in your question, you simply cannot allow internal users to get to your external website via just the domain name. Don't ask why that was such a big deal, but we had internal users that would get livid that typing just the domain name into a browser without www wouldn't bring up the actual website, since the domain record corresponds to the AD domain and isn't a catch-all for getting to www and CAN'T BE internally.
  2. Exchange issues - Exchange AutoDiscover can fail to get the certs and will prompt an error. This can happen both internally AND externally. This became even more apparent when we started have "External Forest Mailboxes" on our Exchange Org and they didn't see the same internal DNS as we had.

Hope that helps.

5
ответ дан 28 November 2019 в 20:20

Это утверждение: "На самом деле, единственное оправдание, которое я могу найти, это то, что для доступа к внешнему веб-сайту из внутреннего требуется запись SRV DNS и ввод www. перед названием веб-сайта в браузере "не соответствует действительности.

Это означает, что вам необходимо хранить копии всех ваших общедоступных записей на серверах AD DNS, что может вызвать проблемы, особенно если вы не сделаете это должным образом - пропустите некоторые и т. Д. кто-то хочет попасть на ftp.company. com, но вы забыли создать псевдоним во внутреннем DNS (или не автоматизировали его должным образом), штатные сотрудники вообще не могут получить доступ к общедоступному FTP-сайту.

Это довольно хорошо изложено в вопросе, который вы связали кому: Рекомендации по именованию Windows Active Directory?

Если сохранение нескольких копий зон DNS - это легкая проблема, которую вам легко решить правильно и навсегда, тогда, я полагаю, вы можете делать то, что хотите. Пока MS не изменит что-то, что его сломает. Вы могли просто следовать их рекомендациям.

Рекомендации по именованию Windows Active Directory?

Если сохранение нескольких копий зон DNS - это легкая проблема, которую вам легко решить правильно и навсегда, тогда, я полагаю, вы можете делать то, что хотите. Пока MS не изменит что-то, что его сломает. Вы могли просто следовать их рекомендациям.

Рекомендации по именованию Windows Active Directory?

Если сохранение нескольких копий зон DNS - это легкая проблема, которую вам легко решить правильно и навсегда, тогда, я полагаю, вы можете делать то, что хотите. Пока MS не изменит что-то, что его сломает. Вы могли просто следовать их рекомендациям.

8
ответ дан 28 November 2019 в 20:20

Теги

Похожие вопросы