doména

Nepoužívejte .local v Active Directory

  By Jan Pichrt        Štítky:, , , ,         Žádné komentáře

Ve své práci se velice často dostanu k nějakému cizímu Active Directory (dále jen AD) a nebo dokonce i k novým instalacím, kde se ještě stále používá .local TLD pro název domény. V tomto krátkém postu bych rád napsal pár důvodů, proč tuto zažitou konvenci přestat praktikovat.

Asi nejčastějším důvodem či obhajobou ze strany správců je tento názor:

.local je (resp. byla) přeci předdefinovaná TLD v SBS Serveru

 

Ano, to je pravda… ale v SBS také bylo na jednom stroji, pokud se nepletu, instalované následující: SQL server, AD, Exchange,Sharepoint. No, pokud Vám i toto přijde v pořádku, pak samozřejmě .local klidně dál používejte. Nicméně i samotný Microsoft už před časem vydal „Best Practices for Internal AD Domain and Network Names„, ve kterém nedoporučuje .local používat.

Pak tady máme nepříjemnosti s SLL certifikáty. 1. listopadu 2015 byla veřejnými certifikačními autoritami ukončena podpora SSL certifikátů, která používají interní doménová jména typu .local. 1. října 2016 pak byly všechny vydané a platné certifikáty s interními názvy odvolány.

Dalším větu, kterou slýchám je:

Chci mít hezký název jako např. FIRMA\Uživatel, proč bych tam měl sakra mít nějaké hnusné AD.FIRMA.TLD\Uživatel? Kdo to tam má ťukat…

 

Musím zmínit, že když jsem hledal nějaké další informace na internetu k této problematice, tak toto byla také jedna z nejčastějších obhajob správců. Sakra lidi, když použijete FQDN domény v AD např. „AD.FIRMA.TLD“, tak existuje možnost si nastavit NetBIOS název domény jaký chcete nehleděte na to, že pak je tady ještě možnost nastavit si UPN a přihlašovat se tak do takové domény např. jako [email protected].

No, dál tady máme Bonjour, neboli mDNS. Pokud máte v síti i nějaký ten Apple a rádi byste si ušetřili nějaké ty nervy a čas tak .local rozhodně nepoužívejte. Bonjour je služba, která využívá .local k přeložení adresy bez použití DNS dotazu. Jsou tu nějaké workaroundy, jak toto řešit, ale za tu námahu to prostě nestojí.

Jaký název tedy zvolit?

Je žádoucí, aby název byl unikátní, protože by to mohlo vést k neřešitelným problémům se stejně pojmenovanou protistranou. A protože registrované domény jsou globálně jedinečné, proč jich k tomu nevyužít?

Osobně využívám již výše zmíněný příklad. Použiju existující, firmou vlastněnou doménu a k ní přihodím subdoménu, o které vím, že nebude nikdy nijak jinak použita. Typicky pak tedy „AD.FIRMA.CZ“. Lze také samozřejmě použít jinou doménu nejvyššího řádu, kterou firma nebude jinak používat.