在运行
Windows Server 2012 R2的域控制器上的Active Directory中创建新林时,系统提示我指定根域名.域名必须由我注册和拥有吗?如果我进入由microsoft.com等其他人注册并拥有的域名,会发生什么?稍后,当我尝试将Windows计算机添加到此域时,它是否会进入互联网并搜索microsoft.com,还是只搜索它的子网(我的域控制器)?只是输入像microsoft.com这样的域名是否安全/可取?
解决方法
Active Directory域的名称仅供内部使用,因此您可以将其命名为任何名称;但是,在Active Directory环境中,域名还充当域中所有计算机的DNS后缀,域控制器充当内部DNS服务器,这些服务器对该DNS域具有权威性(或至少表现得如此).
这意味着,如果AD域名与Internet上存在的实际域名冲突,则该域的所有DNS查询都将由您的DC回答,而不是由管理它的实际Internet DNS服务器回答.在您的情况下,如果您将域命名为“microsoft.com”,那么在尝试连接到Microsoft站点或服务时会遇到各种问题,因为您将无法查询该域的公共DNS服务器(因为你的内部DNS服务器会相信他们合法拥有它).
顺便提一下,如果您使用真正的公共DNS域作为Active Directory域,情况也是如此:事情当然要简单得多,因为您实际拥有它们,但这仍然要求您为同一个域保留两个不同的DNS设置,一个用于Internet,另一个用于内部网络.
作为最佳实践,您应该使用公共DNS域的子域作为AD域名;如果f.e.您的公共域名是“domain.com”,您可以使用“internal.domain.com”或“ad.domain.com”或其他任何内容,只要它是有效的子域名;这将确保没有冲突和更少的头痛.
无论如何,你应该不使用你实际上并不拥有的任何域名,即使它当前没有活动(因为它仍然可以由你以外的其他人注册,并且随之而来的是头痛).
