2019/01/31

Active Directoryのドメイン名を検討するときに考えるべきこと

ここでは、ドメイン名を決めるときの検討事項を記載します。

システム的な制限があるため下記の項目は例外なく必達で準拠する必要があります。
■NetBIOS名
・利用できない禁止文字があるので利用しない。
  バックスラッシュ (\)
  スラッシュ記号 (/)
  コロン (:)
  アスタリスク (*)
  疑問符 (?)
  二重引用符 (" ")
  より小記号 (<)
  より大記号 (>)
  縦棒 (|)
  先頭文字にピリオド(.~)
・NetBIOS名の最小・最大長があるので考慮する
  最小:1文字
  最大:15文字
  
■ドメイン名
・利用できない禁止文字があるので利用しない。
 コンマ (,)
 チルダ (~)
 コロン (:)
 感嘆符 (!)
 アット マーク (@)
 番号記号 (#)
 ドル記号 ($)
 パーセント (%)
 キャレット (^)
 アンパサンド (&)
 アポストロフィ (')
 ピリオド (.)
 丸かっこ (())
 波かっこ ({})
 アンダースコア (_)
 空白 (ブランク)
・ASCII 文字を除き、すべての文字はそれぞれの大文字小文字の区別します。
・先頭文字は英字または数字でなければなりません。
・最後の文字がマイナス記号またはピリオドであってはなりません。
・ドメイン名の最小・最大長
  最小:2文字
  最大:255文字
・ラベルあたりの最大長
  最大:63バイト
・FQDNあたりの最大長
  最大長:255文字
 備考:AD FQDNドメイン名は64文字に制限されているため、64文字以上の場合、
    AD FQDNはパス内に2回表示される。

■単一ラベル DNS にはしない。
 例:contoso
 単一ラベル DNS は以下の問題がある。
 ・単一ラベル DNS 名は、インターネット レジストラーを使用して登録できません。
 ・単一ラベル DNS 名のドメインには追加の構成が必要です。
 ・単一ラベル DNS 名のドメインでは、ドメイン コントローラーの検索に DNS Server サービスが使用されない場合があります。
 ・既定では、Windows Server 2003 ベースのドメイン メンバー、Windows XP ベースのドメイン メンバー、
  および Windows 2000 ベースのドメイン メンバーでは、単一ラベル DNS ゾーンに対して動的更新が実行されません。

■「.local」ドメインは利用しない。
 同じネットワーク内に「.local」があるとコンフリクトが起きるケースがあり、あまり推奨はされません。
 Apple製品で、Bonjourというサービスを利用してIPネットワーク上のマシンやデバイスを自動検索するため、コンフリクトが起き、
 動作が不安定になったり、検出しないというトラブルが発生します。

■予約語が設定されているため以下の語は利用しない。
 ※以下はWindowsの予約語にあたるため他の項目でも利用はしない。
    ANONYMOUS
    AUTHENTICATED USER
    BATCH
    BUILTIN
    CREATOR GROUP
    CREATOR GROUP SERVER
    CREATOR OWNER
    CREATOR OWNER SERVER
    DIALUP
    DIGEST AUTH
    INTERACTIVE
    INTERNET
    LOCAL
    LOCAL SYSTEM
    NETWORK
    NETWORK SERVICE
    NT AUTHORITY
    NT DOMAIN
    NTLM AUTH
    NULL
    PROXY
    REMOTE INTERACTIVE
    RESTRICTED
    SCHANNEL AUTH
    SELF
    SERVER
    SERVICE
    SYSTEM
    TERMINAL SERVER
    THIS ORGANIZATION
    USERS
    WORLD

ドメイン名を決定するときの方針
■一回決めるとシステムサイドも、利用者サイドも変更が難しいので、ドメイン名の決定は慎重にする。

■設定後に変動が少ない要素の名前を選定します。
 なんらかの製品名などは、時間経過によって陳腐化したり、実態との乖離が発生する要素を使用すべきではありません。
 あまり適切ではないケース
 ・ドメイン名:dc2003
  Windows Server 2003環境でActive Directoryを構成した場合、
  OSのアップグレートを実施すると、OSはWindows Server 2019なのに、ドメイン名はdc2003ということになる。
  
■パブリックドメインのサブドメインを推奨
 例:dc.contoso.com

■内部系のドメインは利用しない
 例:lan・localなど

■個人的な検討方法
・なんらかの認証を簡素化したりしない場合は、相当な回数利用するので、短く覚えやすいドメイン名を推奨。
 会社名の短縮名
 例:contoso社の場合、contoso>con.contoso.com
 会社名の先頭文字列にActive Directoryの先頭文字をそれぞれ利用する。
 例:contoso社の場合、Contoso-Active-Directory>cad.contoso.com

・汎用的な名前すぎると、合併したりする際に、競合する可能性が発生する。

参考URL
Active Directory: Best Practices for Internal Domain and Network Names
https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx

Active Directory におけるコンピューター、ドメイン、サイト、および OU の名前付け規則
https://support.microsoft.com/ja-jp/help/909264/naming-conventions-in-active-directory-for-computers-domains-sites-and

Active Directory Maximum Limits - Scalability
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc756101(v=ws.10)#BKMK_NameLimits

0 件のコメント:

コメントを投稿

PowerSwitch初期設定

 概要 PowerSwitchのSシリーズで初期設定する際に以下の最低限の設定 A.シリアル接続 B.初期アカウントの設定(パスワード) C.ホスト名の設定 D.マネジメントポートの設定 E.各インターフェイスの設定 前提 ・PowerSwitchのSシリーズ ・OS10で動作す...