开发者社区> 技术小胖子> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

浅谈活动目录域名称空间设计

简介:
+关注继续查看

大家在构建活动目录初期,最重要的工作就是规划活动目录域名称空间。


通常有以下三种方式:

  1. 内部域名与外部域名保持一致

  2. 内部域名作为外部域名的子域名

  3. 内部域名作为独立域,与外部域名不存在任何联系



这里假设某公司外部域名为 example.com.

那么如上三种描述可以分别这样规划设计活动目录域名称空间:

按第一种方式:内部域名也设置为example.com

按第二种方式:内部域名可以设置为如 hq.example.com 作为子域名的形式存在

按第三种方式:内部域名可以设置为 standalone.com,与外部域名没有任何关联


下面主要介绍这三种方式各自的优劣势,以供大家参考。


这里结合示例讲解,示例基础环境统一如下:


主机: bbs.example.com   内网IP:192.168.0.1  NAT到公网IP:11.11.11.11

内网主机DNS全部指向内网DC(DC集成DNS服务)

分别使用三种方式实现实例。


第一种方式: 内部域名域外部域名一致


  首先要说明的是:这种方式是微软不推荐的方式。

  但是这种方式还是在大部分企业很常用的方式。既然官方极度不推荐,为什么还有那么多企业这么

设计呢? 最主要的优势还是人性化。因为类似www\mail 之类的主机记录都会在公网DNS上做解析,但

是有时服务器就在企业内部,考虑到内网访问速度的问题,以及一些只供内网用户访问的站点等,可能

需要DNS污染技术.这时候就可以在内网DNS上做相应的主机记录,网内用户就可以通

过"www.example.com" "mail.example.com" 等形如此类方式访问了。和公网域名一致,也更容易记

忆。所以更人性化。

 

  但是它最大的缺点是:内网DNS会将example.com作为权威域,对于example.com域内的主机的解析如

果失败不会转发到公网DNS继续查询,而是直接返回解析失败的结果。这样导致只在公网DNS解析的主

机不能在内网访问。


比如:

    mail.example.com 在公网DNS上做了主机记录(11.11.11.11),内网DNS没有做主机记录

(192.168.0.1)。那么内网主机在访问mail.example.com 时就会访问失败。因为内网DNS认为

example.com 是自己的权威域,DNS数据库里没有bbs主机记录,所以直接返回解析失败,不再进行转

发。这时,只要在内网DNS增加A记录 mail指向192.168.0.1或者11.11.11.11即可,但是考虑到网络速

度的问题通常将A记录指向内网IP 192.168.0.1.



解决方案:

  这种方式的域名称设计,需要将发布的主机同时在公网和内网DNS上做解析。这样就可以避免上面的情况了。


第二种方式:内部域名作为外部域名的子域名

   这种方式是微软首推的方式。

   优点是:内网DNS和公网DNS的单独管理,不会有第一种方式的冲突。 内部要发布主机和网站的域名可以与公网域名保持一致,也可以不一致。


这里分几种情况介绍一下(假设内网域名为hq.example.com):


A. 内外网均可访问,且URL一致为"bbs.example.com":

  这种情况下,只能在外网DNS发布。在外网DNS新增A记录:bbs 指向IP 11.11.11.11。内网DNS不做配置。

B. 仅内网发布,不允许外网访问,且URL为"bbs.example.com"

  这种情况,也只能在外网DNS发布。 在外网DNS新增A记录:bbs 指向IP 192.168.0.1。内网DNS不做配置。

C. 内外网均可访问,且URL可以不一致

  这种情况可以这样实现: 外网DNS增加A记录:bbs 指向IP 11.11.11.11;内网DNS增加A记录:bbs 指向IP 192.168.0.1,内网访问URL则为:bbs.hq.example.com(是不是不够人性化?),这样就不如第一种方式的实现看似无缝了。



第三种方式:内部域名作为独立域,与外部域名不存在任何关系


这种方式管理复杂,基本很少用。如果要实现内外网访问URL一致性,只能在公网DNS配置主机记录。内网发布的主机只能是:standalone.com 子域、子域的子域等方式。形如:*.*.standalone.com.



每个企业环境不一样,管理员个人习惯也各异,但是无论哪种方式基本都有手段实现我们的日常需要,这里仅作为前期参考,根据实际情况选择自己的内部域名称规划。因为一旦部署实施后,在想变化域名就很麻烦了。




     本文转自marbury 51CTO博客,原文链接:http://blog.51cto.com/magic3/1342703,如需转载请自行联系原作者




版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
FPGA设计16位二进制全加器模块
本文主要采用FPGA设计16位二进制全加器模块
116 0
【kafka源码】kafka跨目录数据迁移实现源码解析| 文末送书8本
【kafka源码】kafka跨目录数据迁移实现源码解析| 文末送书8本
69 0
快速了解弹性 Web 托管解析域名
域名需要解析到弹性 Web 托管实例的测试域名上,托管在实例上的网站内容才可以正常访问。
801 0
一起谈.NET技术,走向ASP.NET架构设计——第四章:业务层分层架构(后篇)
  今天的内容比较简单,也是本章的一个收尾!   Anemic Domain Model   这种模式和之前讲述的Domain Model有很多的相似的地方。在之前的Domain Model中,每个业务类都包含了自己的业务逻辑和数据,以及对象之前的关系;但是在Anemic Domain Model,每个业务类仅仅只是包含了一些保存业务数据的属性,把相应的业务规则从原本的业务类中移到了另外的一个专门的业务规则类(Specification Pattern,我们后面的章节讲述),同时把相应的业务方法移到了service类中。
746 0
一起谈.NET技术,走向ASP.NET架构设计——第四章:业务层分层架构(前篇)
  在讨论完四种模式之后,我将会和大家一起来看看DDD的一些知识。每种模式的讲解,我都会用实例的形式给出完整的代码,也希望大家多琢磨!   不是所有的应用程序都是一样的,也不是所有的系统都需要用复杂的架构来组织业务逻辑。
867 0
域名空间那些事 第二季
以我了解到的信息,大部分人都是在国外购买域名,解析在国内,比较有名的DNS解析商 DNSpod如果为了域名空间交易方便申请信用卡,信用卡类型必须可以交易美金,一般是双币信用卡 大家在国外注册域名,购买空间时涉及到信用卡和paypal支付问题,以下是查找的一篇资料,是否准确需要自己验证,作为基础常识供需要时参考 PayPal在三个地方会用到银行卡信息。
1015 0
一起谈.NET技术,走向ASP.NET架构设计——第六章:服务层设计(前篇)
  本篇主要是为后文做铺垫,所以理论的东西相对而言比较的多一点!   服务层的概述   首先解释一下什么是”服务Service”,从广义来讲:只要是你使用了别人的东西,那么你就在使用别人提供的服务。在这里,服务就是指可能被一个或者多个系统使用的核心的业务逻辑,我们可以把服务简单的想象成为一些可供调用的API。
1017 0
文章
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载