none
Mejor practica para nombres de dominio RRS feed

  • Pregunta

  • Hola a todos,

    Me gustaria saber que recomienda Microsoft o en general los arquitectos IT Microsoft respecto a los nombres de dominio en AD.

    Resulta que he visto implementaciones del tipo EMPRESA\usuario con sufijo dominio.local, dominio.int o bien el dominio.pais (.cl, .ar, .pe, etc...)

    ¿Existe alguna recomendacion, restricción al respecto?

    En mi caso, pretendo usar dominio.pais y en varias implementacion lo he hecho asi, a excepcion que me han pedido que sea dominio.local o int.

    Espero sus respuestas, agradecido

    jueves, 10 de junio de 2010 3:44

Respuestas

Todas las respuestas

  • La recomendación principal es que el dominio interno no sea igual al de Internet. Es decir que si el dominio de Internet (en el que está la Web de la empresa) fuese condemor.com, el dominio interno fuese con el mismo nombre pero distinto sufijo, y que el sufijo no fuese uno de los de Internet (.es, .com, .net, etc.), poniendo el que a uno le pareza, tanto condemor.local, como condemor.interno, como condermor.jarl serían opciones válidas:

    Considerations for designing namespaces in a Windows 2000-based domain
    http://support.microsoft.com/?scid=kb%3Ben-us%3B285983&x=14&y=19


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    • Propuesto como respuesta Pep lopezModerator jueves, 10 de junio de 2010 6:47
    • Marcado como respuesta Marc SalvadorModerator jueves, 10 de junio de 2010 7:23
    • Desmarcado como respuesta svelosov jueves, 10 de junio de 2010 13:17
    • Votado como útil svelosov jueves, 10 de junio de 2010 13:17
    • Marcado como respuesta svelosov jueves, 10 de junio de 2010 17:16
    jueves, 10 de junio de 2010 5:21
    Moderador
  • svelosov:

    Adicionando lo que ya comento Fernando, en el tema de designing namespaces para tu nuevo dominio se considera como mejores practicas evitar tener el nombre del dominio interno igual al dominio externo por temas de seguridad y configuraciones.

    A nivel de configuraciones... Si se asigna al dominio interno contoso.com y configuramos en nuestro servidor de mensajeria para que responda al smtp contoso.com, debemos ser precavidos en las configuraciones, ya que de lo contrario tendriamos problemas en la recepcion de correos externos. Es decir tendriamos que utilizar funcionalidades de SPLIT-DNS; Configurar un DNS para la recepcion de consultas externas y uno para las consultas internas de ser necesario.    || Asi como tambien, se tendrian problemas con los servicios WEB, que tambien pueden ser solucionado sencillamente, etc.

    A nivel de seguridad... ya seria sencillo para usuarios mal intencionados tener el nombre de dominio interno capturado.

    Tomalo en cuenta.

    Saludos.

    jueves, 10 de junio de 2010 7:32
  • Fernando,

    Gracias por la aclaración.

    Me asalta una duda. Que pasa si tienes una plataforma de autenticación unificada, en donde el AD es simplemente participe de una entidad global como un OpenLDAP, que normalmente tambien maneja formatos de dominio dominio.sufijo-pais ¿Es posible integarlo, a pesar de tener distintos sufijos?

     

    Saludos

    jueves, 10 de junio de 2010 17:16
  • Depende del propio software de unificación de la plataforma, de si permite o no hacerlo. Si no se permite hacerlo, entonces si que necesitas que el nombre de tu dominio interno sea igual al de Internet, en cuyo caso es imprescindible que hagas split de DNS, para que los clientes internos tengan un servidor DNS de resolución de los nombres del dominio y los clientes externos tengan otro con los nombres de Internet. Esto se explica muy bien en este artículo:

    You Need to Create a Split DNS!
    http://www.isaserver.org/tutorials/You_Need_to_Create_a_Split_DNS.html


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    viernes, 11 de junio de 2010 5:14
    Moderador
  • Gracias Fernando,

    Efectivamente, bueno el tema de Split DNS ya habia resuelto.

    Otra cosa, Identity Integration Server (MIIS) permite integrar un LDAP con AD no?

     

    Saludos,


    sábado, 12 de junio de 2010 21:06
  • Sí, con LDAP y con más almacenes de identidad:

    Microsoft Identity Integration Server 2003 SP2
    http://www.microsoft.com/spain/idmgmt/miis/default.mspx


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    lunes, 14 de junio de 2010 5:12
    Moderador