За и против использования внутреннего или внешнего доменного имени для Active Directory
Хорошо, поэтому поскольку я читаю это, у Вас есть офис, который содержит Ваш штат и сервер (или 2 +). Ваши сотрудники привыкли к способности получить доступ к Вашим серверам быстро и хотеть сохранить это тем путем, но устранить Вашу единую точку отказа, Вам нужен другой сервер.
Вы могли потратить состояние на получение этой работы в Вашем офисе, заставить транзитного поставщика давать Вам выделенную линию. Доверяйте мне, нет никакого смысла делающего это по "FiOS" или выбившейся в люди строке ADSL. Я не знаю, является ли Ваша кавычка FiOS, спорил пропускная способность, но Вы вряд ли получите в какой-либо степени 50 Мбит.
Пристально смотрите на свои данные прикладного уровня. Можно ли оптимизировать его для передачи WAN? Gzip все Вы можете, и устанавливать обратный прокси для кэширования как можно большего количества данных. Также сместите все внешние медиа, Изображения, CSS и материал типа данных JavaScript к CDN. Они могут волноваться по поводу пропускной способности, что Вы не можете позволить себе.
Это также кажется, что Вы хотите дешевый, хороший и надежный. У Вас могут быть любые 2 из этих трех, но не всех их.
Если Вы настоите на том, чтобы размещать серверы из своего офиса, то Вам будут нужны транзит IP класса поставщика услуг и маршрутизация. Сама возможность соединения могла бы иметь высокий OPEX, но КАПИТАЛЬНЫЕ РАСХОДЫ для аппаратных средств маршрутизации будут дорогими также. Вам будет нужна пара (для истинной Высокой доступности) хороших маршрутизаторов, брандмауэров, переключателей для начала.
При попытке оптимизировать свое приложение, Вы могли бы найти, что можете получить подобную производительность по разнообразным каналам WAN и можете пихнуть целое приложение на облачную среду, такую как EC2 Amazon.
Нижняя строка вещи возможности соединения - это: Если Ваше приложение значит так много для Вас, стоит инвестировать деньги в выполнение его правильный путь. Вырезание стоимости может походить на прекрасную идею теперь, но возвратится, чтобы укусить Вас в заднице.
Я создал и поддерживал десятки лесов Active Directory за прошлое десятилетие от создания серверов SBS с 10 пользователями к приему в управление 6 000 пользовательских лесов с 50 + DC и перепроектирование всего этого. Я могу сказать, что не вижу оснований для НЕ использования .com имени Интернет-домена AD лесного названия, если Вы планируете правильно. Microsoft прекратила рекомендовать использовать .local доменные годы назад из-за Добрый день несовместимостей с более старыми версиями Mac OS X, и по причинам Вы цитируете. Идея со дней Win2000 для создания корневого домена "memberless" с основным доменом, являющимся субдоменом, происходит также из окна из-за лучших инструментов и управления теперь.
Причины сделать "мозговой разделением" DNS с Интернетом и тем, что AD домен был тем же:
- Лучшая причина: URL для веб-приложений - то же от и до для пользователей (рекомендуйте добавить свое внутреннее доменное имя к зоне безопасности интранет IE через GPO),
- опция легко сделать вход в систему и адрес электронной почты тем же (NT4 способом входа в систему является domain\user, но в современных окнах это также берет username@domain.com),
- Адрес SIP OCS/Lync то же как электронная почта и вход в систему
- Можно использовать общедоступные сертификаты для внутренних серверов скорее затем частный CA
Отрицательные стороны:
- раздельное туннелирование VPN сложность играет роль когда клиентские компьютеры вне Вашей сетевой потребности решить использовать или общедоступный IP для website.domain.com или внутренний. Часто компании (чтобы быть дешевыми и сохранить пропускную способность) устанавливают клиентские настройки Windows VPN для раздельного туннелирования, которое говорит Windows только отправлять трафик в интранет, которая предназначена для внутренних ИМЕН/ДЮЙМ/С. Когда DNS может разрешить те же имена внутри и снаружи сети, которую он должен принять решение использовать? Windows даст Вам смешанные результаты, для которых DNS записывает (частный или общедоступный) для использования для клиента. Моя рекомендация: не позволяйте раздельное туннелирование в клиенте VPN.
Управление DNS является основной головной болью, с которой Вы столкнетесь.
- Доменное разрешение:
Системы в домене ожидают мочь решить для контроллеров домена, когда они запросят FQDN домена. Это - проблема, если Ваши пользователи, скажем, хотят получить доступ к веб-сайту путем помещения company.com в их браузерах; та запись DNS должна указать вместо этого на контроллеры домена (и пользователи должны будут войти www.company.com для веб-сайта).
- Двойное управление зонами:
Точно так же Ваши серверы Active Directory будут установлены быть авторитетными для company.com зона. Так, Вы будете эффективно управлять двумя копиями зоны; тот в активном каталоге и тот, который будут видеть интернет-пользователи. Все записи, к которым должны будут получить доступ Ваши внутренние пользователи, должны будут быть созданы и обновлены в обоих местах.
Преимущество, которое Вы процитировали для сертификатов, может иметься с некоторым обманом DNS, обязательно не будучи должен принять на себя обязательство накладываться навсегда. С другой стороны, полезно с точки зрения удобства использования для адреса электронной почты пользователей соответствовать их Пользовательскому Принципиальному Имени.
будучи вовлеченным в длинное (и очень дорогой) проект миграции рекламы, я стал поклонником наличия внутренней рекламы, которая "универсальна" относительно Вашего названия компании. если Вы находитесь в бизнесе, который может быть куплен или объединен с другим бизнесом, можно найти, что необходимо не обязательно изменить домен рекламы из-за бизнес-решения.
например, если Вы находитесь в бизнесе обуви, Вы могли бы купить доменное имя как corpshoe.net и только использовать его для активного каталога. Ваш корпоративный веб-сайт и электронная почта могут остаться такими же как Ваши регулярные доменные имена, и если Ваша компания изменяется, Ваша реклама не имеет к.
я также полагаю, что необходимо владеть названием рекламы во внешнем мире. это просто делает все легче.