Задать вопрос
@Desert-Eagle
Новичок во всем

Поясните правильность трехуровнего домена в корп.сети?

Только учусь и хочу понять рекомендацию из best practics.
При создании домена основаная рекомендация это не создавать домен contoso.local, а делать сразу осмысленное название по типу contoso.com, но так же советуют сразу делать третий уровень домена, т.е. corp.contoso.com ссылаясь на то что если вы будете поднимать внутри сети сайт корпоративный или почту или что-то еще, то при двухуровневом домене могут возникнуть проблемы с DNS и нужно будет создавать отдельные зоны или типа того.
Вот я хочу понять что конкретно под этим подразумевается? Почему будут проблемы в сети если делать двухуровневый домен?
  • Вопрос задан
  • 740 просмотров
Подписаться 4 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 5
hint000
@hint000
у админа три руки
Я знаю что local это не правильно.
Не надо повторять за кем-то догмы. Почему .local это не правильно? У 0.1% компаний сетевая инфраструктура организована так, что с .local они наступят на грабли. У остальных 99.9% никаких проблем нет и не будет. И это не "рулетка", адекватный админ точно знает, что в его сети нет Zeroconf. Совет от Microsoft не использовать .local - это совет "специалистам", которые понятия не имеют, что творится у них в сети. На всякий случай, чтобы имеющийся бардак не стал ещё худшим бардаком.

Если организация настолько большая, что требуется выделение отдельных, администрируемых независимо другими людьми зон (филиалов, отделов) - то да, лучше сразу задуматься о доменах третьего уровня.
Если организация настолько большая, то рядом с вами будут несколько опытных коллег, которые не абстрактно, а на реальной конфигурации объяснят, почему были приняты те или иные решения (домен 3-го уровня или 2-го уровня и многое другое). Microsoft даёт некоторые рекомендации, но они (рекомендации) не заменят мозги админа. Это даже не best practices, это точка, с которой можно начать, когда нет опыта. Но эти рекомендации не помешают наступить на грабли (другие), вот пример из недавних вопросов здесь же: https://qna.habr.com/q/1046186
Есть домен (AD), основной DNS суффикс домена - company.ru...
...
Недавно в зоне RU регистрируется доменное имя - company.ru. Зарегистрировано не нами...
Занавес.
В случае .local такой проблемы не было бы. Делаем вывод: бездумное следование рекомендациям не спасает от проблем. Даже если бы они сделали домен 3-го уровня corp.company.ru, это бы их не спасло.
Ответ написан
vvpoloskin
@vvpoloskin
Инженер связи
Следите за логикой:
1) отдельный домен как правило отдельная ИТ-инфраструктура, отдельный web-сервер например
2) за домены второго уровня надо платить. В масштабах организации может быть они стоят и дёшево, но нужно следить за их статусом просрочки. Регистрацию домена третьего уровня не надо согласовывать с закупками.
3) подходящее имя домена второго уровня может быть уже занято, в то время как все пространство имён 3-го уровня у вас под рукой.
4) на все домены 3-но уровня можно выпустить один сертификат SSL типа wildcard.
Ответ написан
Комментировать
ky0
@ky0 Куратор тега Системное администрирование
Миллиардер, филантроп, патологический лгун
local - это то, что не будет видно из интернета. Как вы там его назовёте и сколькиуровнево - вкусовщина, по большому счёту.

Если организация настолько большая, что требуется выделение отдельных, администрируемых независимо другими людьми зон (филиалов, отделов) - то да, лучше сразу задуматься о доменах третьего уровня.
Ответ написан
anthtml
@anthtml
Системный администратор программист радиолюбитель
Тема с созданием домена 3 уровня целесообразна/необходима в случаях когда нужно каким-то боком выставлять контроллер домена "голым задом" в WWW, чтобы в нем могли авторизовываться удаленщики без всяких VPN и прочих бубнов.
Третий/четвертый уровень - для того чтобы на домене сидели только адреса именно контроллеров AD, а не всякой Web чухни и прочего, которое может находится в DMZ или вообще у стороннего хостера. А чем дальше находится / дольше ищется сервер AD, тем сильнее тупит клиент
Ответ написан
Комментировать
@NortheR73
системный инженер
Там будут какие то проблемы с DNS-ми, я хочу понять о чем речь

курите вопрос про Split (Split-Brain) DNS...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы