在Active中创建新林时，必须注册根域名吗？

Question

在运行Windows 2012 R2的域控制器上创建Active中的新林时，系统会提示我指定根域名。域名必须由我注册和拥有吗？如果我进入像microsoft.com这样的其他人注册和拥有的域名，会发生什么情况？稍后，当我尝试向这个域添加一台Windows计算机时，它会在互联网上搜索microsoft.com，还是只在它的子网(我的域控制器)中搜索？是否只输入一个像microsoft.com这样的域名是安全的/更可取的？

Answer 1

Active域的名称仅供内部使用，因此您可以任意命名它；但是，在Active环境中，该域名还充当域中所有计算机的DNS后缀，域控制器充当内部DNS服务器，这些服务器对该DNS域具有(或至少是其行为)的权威性。

这意味着，如果AD域名与Internet上存在的实际域名冲突，则对该域的所有DNS查询将由您的DC来回答，而不是由管理它的实际Internet DNS服务器来回答。在您的示例中，如果您将域命名为"microsoft.com"，则在试图连接到microsoft.com或服务时会遇到各种问题，因为您将无法查询该域的公共DNS服务器(因为您的内部DNS服务器相信它们正确地拥有它)。

顺便说一句，如果您使用真正的公共DNS域作为Active Directory域，情况也是如此:事情当然要简单得多，因为您实际上同时拥有它们，但这仍然需要您为同一个域提供两个不同的DNS设置，一个用于Internet，另一个用于您的内部网络。

作为最佳实践，您应该使用公共DNS域的子域作为AD域名；如果是f.e。您的公共域是"domain.com"，只要它是一个有效的子域，您就可以使用"internal.domain.com“或"ad.domain.com”或其他什么；这将确保不发生冲突，减少麻烦。

无论如何，你不应该使用任何你实际上不拥有的域名，即使它目前并不活跃(因为它仍然可以被其他人注册，而不是你，并且会引起麻烦)。

Answer 2

作为最佳实践，您只将本地DC配置为计算机的DNS (没有外部DNS)。

因此，这意味着对*Microsoft.com的所有查询都将由您的DC来回答，并且如果它们试图访问像support.microsoft.com这样的站点或其他任何地方，大多数情况下都会使它们作为未知失败。

与国家tld现在你可以有很多的域名，它不需要花费，根本没有理由不拥有它。