Le nom de domaine de DNS est fréquemment un bloc dans le processus de conception pour des personnes travaillant sur une migration d'AD. J'ai fait un certain nombre de « round tables » ou les discussions facilitées au sujet de ces matière et ce qui me surprise est que les gents le fait plus compliqués qu’ils on besoin. Étant un conseiller qui a fait un certain nombre de projet d'AD pour des clients avec les nombres d’usager de 200 à 27000 je l'ai vu tout. J'ai deux recommandations simples :

  • Utilise le principle de KISS (Keep It Simple S{remplace le mot avec ton nom de choix})
  • Fait le choix correctement un fois - et gardez-le.

La semaine passé, j'ai sorti pour le dîner (j'étais à Redmond pour une conférence technique) et une discussion a été soulevée au sujet du stratégies de DNS. Prenez un consultant en matière de stratégie d'entreprise, un consultant d’AD et un x-RedHat/Ingénieur d'oracle et quelques points intéressants obtiennent augmentés. Je ne vous dirai pas qui a soulevé quelle stratégie - je vous laisserai choisir:

Option 1 - Employez les mêmes noms internes et externes.
Si j’ai déjà achetez rickcompany.ca. et je l'emploi a l’extérieure, pourquoi pas employez a l'intérieure aussi? Humm... Maintenir 2 zone de DNS sur deux serveurs qui ne peut pas échangez l'information et devront être séparément contrôlés. Ceci pourrait sembler comme un bon principe de KISS et fortifier le « confort » des clients interne. En effet - il place beaucoup plus d’effort administratif sur les admins de DNS et ce n'est pas exactement « future proof » pour les besoins changeants d'affaires. Vous devrez manuellement ajouter les entrées externes dans votre zone interne. Vous devrez sélectivement ajouter les ressources internes à votre zone externe. Comment manipulerez-vous les ressources internes et externes quand c’est temps de changez a IPv6?

Oui – c’est vrai.  Je l'ai mise en application cette stratégie pour des clients - après qu'ils aient passé en revue tous les « pour et contre ». 

Option 2 - Employez un domaine secondaire délégué du domaine externe pour le domaine interne.
Si j’ai déjà achetez rickcompany.ca et je l'emploie a l’extérieur (je l'accueille sur un ensemble de serveurs moi-même ou mon service d’Internet), je crée un domaine secondaire a l’intérieur seulement qui pourrait s'appeler corp.rickcompany.ca ou ad.rickcompany.ca ou n’importequoi.rickcompany.ca. Puisque ce domaine secondaire est seulement maintenu a l’intérieur sur les serveurs internes de DNS, il ne peut pas être accidentellement placé sur les serveurs a extérieur. Les clients et les serveurs feraient partie du domaine secondaire interne de rickcompany.ca et fonction normalement dans un environnement d'AD.  Si vous aviez déjà une grande (ou petite) zone de DNS rickcompany.ca, les ressources pourraient être transférés à l’intérieur utilisant un zone secondaire. C'est le plus facile à contrôler, puisque vous commandez la zone et ne devez pas s'inquiéter de ce qui est à l'intérieur et dehors. Vous « futureproof » également votre réseau, puisque vous avez des noms uniques à l'intérieur et a l’extérieur. Si vos clients internes ont la mauvaise habitude d’identifier les ressources pas entièrement qualifier de DNS,  vous pouvez ajouter rickcompany.ca à votre liste de domaines de recherche pour assurer le nom résolution approprié.

Option 3 - Employez un domaine interne non standard. (Dustin Norman m'a rappelé celui-ci).
J'ai employé celui-ci à seulement une occasion. Je vous avertis que vous devriez employer celui-ci avec prudence - comme il limite sévèrement votre capacité de contrôler facilement les ressources internes que vous voulez faire accessible à l’extérieur. Si vous choisissez d'employer rickcompany.interne ou rickcompany.local pour votre Domaine interne de DNS, vous garantissez pratiquement que vos centres serveurs internes ne seront jamais résolubles du monde extérieur.  Il n'est pas dans généralement de meilleures habitudes recommandées d'employer ce type de domaine non standard de DNS sans regarder toutes les implications.

Je terminerai cette conversation en disant – comprenez toutes les implications de choisir le nom du domaine de DNS. Choisissez seulement après que vous avez évalué tout les options. Vous avez besoin d'un stratégie en bon état pour votre nom de domaine DNS et comment cela fonctionne afin d'assurer une base forte pour « Active Directory ».

Comment est-ce que je réponds quand quelqu'un me pose la question de DNS? "Ca dépend....."

Voici un lien à la discussion 2003 de guide déploiement des serveur DNS de Windows
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dnsbd_dns_tvnd.asp