Поясните правильность трехуровнего домена в корп.сети?

Question

[Вася Пупкин]

Только учусь и хочу понять рекомендацию из best practics.
При создании домена основаная рекомендация это не создавать домен contoso.local, а делать сразу осмысленное название по типу contoso.com, но так же советуют сразу делать третий уровень домена, т.е. corp.contoso.com ссылаясь на то что если вы будете поднимать внутри сети сайт корпоративный или почту или что-то еще, то при двухуровневом домене могут возникнуть проблемы с DNS и нужно будет создавать отдельные зоны или типа того.
Вот я хочу понять что конкретно под этим подразумевается? Почему будут проблемы в сети если делать двухуровневый домен?

Answer 1

[hint000]

Я знаю что local это не правильно.

Не надо повторять за кем-то догмы. Почему .local это не правильно? У 0.1% компаний сетевая инфраструктура организована так, что с .local они наступят на грабли. У остальных 99.9% никаких проблем нет и не будет. И это не "рулетка", адекватный админ точно знает, что в его сети нет Zeroconf. Совет от Microsoft не использовать .local - это совет "специалистам", которые понятия не имеют, что творится у них в сети. На всякий случай, чтобы имеющийся бардак не стал ещё худшим бардаком.

Если организация настолько большая, что требуется выделение отдельных, администрируемых независимо другими людьми зон (филиалов, отделов) - то да, лучше сразу задуматься о доменах третьего уровня.

Если организация настолько большая, то рядом с вами будут несколько опытных коллег, которые не абстрактно, а на реальной конфигурации объяснят, почему были приняты те или иные решения (домен 3-го уровня или 2-го уровня и многое другое). Microsoft даёт некоторые рекомендации, но они (рекомендации) не заменят мозги админа. Это даже не best practices, это точка, с которой можно начать, когда нет опыта. Но эти рекомендации не помешают наступить на грабли (другие), вот пример из недавних вопросов здесь же: https://qna.habr.com/q/1046186

Есть домен (AD), основной DNS суффикс домена - company.ru...
...
Недавно в зоне RU регистрируется доменное имя - company.ru. Зарегистрировано не нами...

Занавес.
В случае .local такой проблемы не было бы. Делаем вывод: бездумное следование рекомендациям не спасает от проблем. Даже если бы они сделали домен 3-го уровня corp.company.ru, это бы их не спасло.

Comments

[fpir]

Если организация настолько большая, то рядом с вами будут несколько опытных коллег,

Нет, по существу всё правильно, я-бы так ёмко не сказал. Просто только что был разговор:
Стуктура Газпрома, в области был IT отдел с начальником, тех подом, админом и 1с-ник. Не так чтоб много платили, 1 ставку делили на 3х. Потом говорят, что начальник для них жирно. И остаётся техпод с обязанностями начальника(считай менеджера) со ставкой 35, 1с-ник с обязанностями бухгалтера, т.к бухгалтерию тоже сократили и 1сник делает проводки по договорам it, ну и админ. Первый отлетает 1сник, потому, что совмещал, и бухгалтерия ему не впилась. Бывший начальник не готов тянуть 3 ставки по обязанностям и подаёт заявление, ну а админу за 30к это вот всё вообще не интересно, и он тоже отрабатывает 2 недели. И наша область в этом плане в отстающих, в соседних уж уволились it отделы в полном составе. Вакансии открыты, Опытные, на то и опытные, что видят жопу издали, как в домене, так и в зарплате. А наберут как-раз с минимальном опытом. И кто чего объяснит?
И случай, кст, сильно не единичный. в последнее время.

[hint000]

fpir, печально. Наверное "эффективные менеджеры" пришли, как это обычно бывает.

Answer 2

[Валентин]

Следите за логикой:
1) отдельный домен как правило отдельная ИТ-инфраструктура, отдельный web-сервер например
2) за домены второго уровня надо платить. В масштабах организации может быть они стоят и дёшево, но нужно следить за их статусом просрочки. Регистрацию домена третьего уровня не надо согласовывать с закупками.
3) подходящее имя домена второго уровня может быть уже занято, в то время как все пространство имён 3-го уровня у вас под рукой.
4) на все домены 3-но уровня можно выпустить один сертификат SSL типа wildcard.

Answer 3

[ky0]

local - это то, что не будет видно из интернета. Как вы там его назовёте и сколькиуровнево - вкусовщина, по большому счёту.

Если организация настолько большая, что требуется выделение отдельных, администрируемых независимо другими людьми зон (филиалов, отделов) - то да, лучше сразу задуматься о доменах третьего уровня.

Comments

[Вася Пупкин]

Блин, вы бы вопрос хотя бы прочитали?
Я знаю что local это не правильно.
Вопрос: Почему правильнее называть домен corp.contoso.com, а не просто contoso.com?
Какая в будущем может возникнуть проблема если я назову домен contoso.com а потом решу поднять в сети сайт или почту? Там будут какие то проблемы с DNS-ми, я хочу понять о чем речь.

[ky0]

Вася Пупкин, никто не говорит, что local - это неправильно. Это вполне нормально для внутренней инфраструктуры.

Какие могут быть проблемы с ДНС, я вам написал - если захочется делегировать, несколько отдельных зон будет проще разнести.

[Роман Безруков]

Вася Пупкин,

Там будут какие то проблемы с DNS-ми, я хочу понять о чем речь

курите вопрос про Split (Split-Brain) DNS...

[sazhyk]

Роман Безруков, свой комментарий вынесите в ответ. Потому как более точно никто не ответил. Все пустились в демагогию.

Answer 4

[AntHTML]

Тема с созданием домена 3 уровня целесообразна/необходима в случаях когда нужно каким-то боком выставлять контроллер домена "голым задом" в WWW, чтобы в нем могли авторизовываться удаленщики без всяких VPN и прочих бубнов.
Третий/четвертый уровень - для того чтобы на домене сидели только адреса именно контроллеров AD, а не всякой Web чухни и прочего, которое может находится в DMZ или вообще у стороннего хостера. А чем дальше находится / дольше ищется сервер AD, тем сильнее тупит клиент

Answer 5

[Роман Безруков]

Там будут какие то проблемы с DNS-ми, я хочу понять о чем речь

курите вопрос про Split (Split-Brain) DNS...