Meilleures pratiques de nommage de domaines Active Directory

Lorsqu’il s’agit de nommer des domaines, il importe d’y réfléchir très sérieusement, quasiment comme quand on réfléchit au prénom que l’on va donner à son premier enfant ! J’exagère, bien entendu, mais c’est pour marquer qu’une telle action doit être mûrement réfléchie. Quant à ceux pour qui « il est déjà trop tard » sur ce plan, nous vous proposerons tout prochainement un tutoriel sur le thème Comment renommer un domaine.

Avant de vous présenter les meilleures pratiques actuelles en la matière, il me semble utile d’évoquer deux pratiques répandues, mais qui ne sont plus recommandées :

• Au niveau des noms de domaine de premier niveau (TLD), de nouvelles séries telles que .local, .lan, .corp, etc. sont désormais vendues par l’ICANN, ce qui veut dire qu’un domaine que vous utilisez aujourd’hui en interne, par exemple votreentreprise.local, peut être acheté à tout moment par une autre entreprise. Si ce nouveau risque ne suffit pas à vous dissuader de maintenir cette pratique, voici quelques autres raisons de ne pas utiliser .local dans votre nom de domaine Active Directory (AD).
• Si vous utilisez un nom de domaine public du type entreprise.com, vous avez tout intérêt à ne pas utiliser le même nom de domaine pour AD en interne, car vous créeriez alors un DNS divisé (“Split DNS”). On parle de DNS divisé lorsqu’on met en œuvre deux serveurs DNS distincts pour gérer strictement la même zone DNS de recherche directe, ce qui accroît la charge en processus administratifs.

À l’heure actuelle, et jusqu’au prochain changement, qui ne manquera pas de se produire, voici deux démarches de nommage de domaine qui pourront vous convenir.

La première consiste à utiliser un sous-domaine inactif du domaine que vous utilisez publiquement. Par exemple : ad.entreprise.com ou interne.entreprise.com. Les avantages de cette approche, qui est la plus utilisée, sont notamment les suivants :

• Il suffit de déposer un seul nom de domaine, même si vous décidez ultérieurement d’ouvrir une partie de votre sous-domaine interne à l’accès public ;
• Cela simplifie la gestion distincte des domaines externe et interne ;
• Tous les noms de domaines internes sont assurés d’être globalement uniques.

Le seul micro-inconvénient de cette approche est que les noms de sous-domaines intégralement qualifiés (FQDN) en interne sont plus longs à saisir ; par conséquent, efforcez-vous de choisir un nom de sous-domaine interne aussi court que possible.

Cela dit, si la création du domaine interne sous forme de sous-domaine n’est pas envisageable, pour une raison ou pour une autre, vous pouvez recourir à un autre nom de domaine dont vous êtes propriétaire et qui n’est utilisé nulle part ailleurs. Exemple : si votre adresse Web publique est entreprise.com ou entreprise.fr, votre domaine interne peut être entreprise.net, à condition que vous l’ayez fait enregistrer et que vous ne vous en serviez pas par ailleurs. Le principal avantage de cette approche est que votre nom de domaine interne est propre. Mais son inconvénient est qu’elle vous oblige à gérer deux noms de domaines distincts.

Et une fois que vous aurez suffisamment planché sur ce choix de nom, vous aurez intérêt à consulter cette page pour ne pas subir les conséquences pénibles de la présence éventuelle de caractères non autorisés dans votre nom, par exemple les signes deux points (:) ou tilde (~).

GUIDE GRATUIT

4 conseils primordiaux pour bien sécuriser Active Directory

Télécharger maintenant