こんにちは！クラウドインテグレーション部技術1課のイーゴリです。

ネットで「.local」のようなADドメイン名を作るパターンをよく見かけますよね。普通はネットの記事の例として「.local」と書いても全然問題ないと思いますが、「.local」のようなADドメインを本番環境でも使用している方がいますので、この記事では、どうやって正しいActive Directoryドメイン名を作ればいいかご紹介したいと思います。

■注意点：本件の記事では、分かりやすいようにActive Directory Domain（NETBIOS）及びDNS Name を「ADドメイン名」として呼びますが、Active Directory Domain（NETBIOS）がDNS Nameイコールではありません。

例：

AD Domain（NETBIOS）: CORP

DNS: corp.example.org

• 末尾の.localまたはIANAで使用されていないトップレベルドメインは使用しないでください
• ADのドメイン名をSingle-label domainとして作らないでください
• ADドメイン名が、外部のインターネットドメイン名とかぶってしまう場合、DNS解決に纏わるトラブルが発生しますので、ご注意ください
• NETBIOSの名前の入力について気をつけてください（名前空間の不整合 / Disjoint Namespace）
  • 名前空間の不整合の例（その①）
  • 名前空間の不整合の例（その②）
  • 正しい例（その①）
  • 正しい例（その②）
  • 名前空間の不整合がよく発生するパターン
• ドメイン名に無効な文字が含まれないように気をつけてください
• 正解は？
• ADドメイン名を作り直せるか

末尾の.localまたはIANAで使用されていないトップレベルドメインは使用しないでください

マイクロソフトのtechnetページでは下記のように書かれています。

In the past, lots of people chose to use a dummy, unofficial TLD (top-level-domain) for their internal network, like domain.lan, domain.local of domain.internal (and also domain.internalhost)

But this can get you in serious trouble. Because these names are not supported by internet standards, the most important RFC on this is: RFC 2606 Jump (http://tools.ietf.org/html/rfc2606 Jump ) This RFC standard is very explicit on choosing domain names for private testing and documentation

マイクロソフトのベストプラクティスが下記となりますので、ご参照ください。

social.technet.microsoft.com

ざっくり思い出しますと、ExchangeServerはクライアント接続を暗号化するために証明書が必要となります。自分の会社の外部ドメインだと簡単に検証に合格しますが、 test.localの場合は、test.localみたいなドメインが存在しません。ですので、認証局にFQDNをSAN（test.local）に入れる必要があることを説明すると、「実際のドメイン名の証明書のみを発行します」というような回答が来るはずです。

ADのドメイン名をSingle-label domainとして作らないでください

簡単に説明しますと、下記の例のように「一つの言葉でドメイン名をかかないで」という意味ですね。

例１：example

例２：corp

例３：local

詳しくは下記の「単一ラベルの DNS 名を使用して構成された Active Directory ドメインの展開と操作」のマイクロソフトの記事をご参考ください。

docs.microsoft.com

ADドメイン名が、外部のインターネットドメイン名とかぶってしまう場合、DNS解決に纏わるトラブルが発生しますので、ご注意ください

外部のインターネットドメイン名とかぶってしまう場合、2つのゾーンに外部レコードを追加する必要がありますが、これは必然的に混乱と要らないルーチンにつながりますので、おすすめ致しません。

技術的には上記の３つ目の方法が実現できなくはありませんが、個人的におすすめは致しません。

NETBIOSの名前の入力について気をつけてください（名前空間の不整合 / Disjoint Namespace）

下記の公式マイクロソフトページに名前空間の不整合について詳しく記載してあります。

docs.microsoft.com

簡単に説明しますと、ドメインコントローラーまたはコンピューターのDNS名がNETBIOS名と一致してない場合、Disjoint Namespaceが発生します。

名前空間の不整合の例（その①）

AD Domain（NETBIOS）: CORP6

DNS: corp.example.org

名前空間の不整合の例（その②）

AD Domain（NETBIOS）: AD

DNS: corp.example.org

正しい例（その①）

AD Domain（NETBIOS）: AD

DNS: ad.example.org

正しい例（その②）

AD Domain（NETBIOS）: CORP

DNS: corp.example.org

名前空間の不整合がよく発生するパターン

名前空間の不整合がどういう時によく発生するかというと、企業の合併の時などです。

ドメイン名に無効な文字が含まれないように気をつけてください

下記のマイクロソフトページに記載してありますが、簡単に説明しますと、RFC 1123の通り、記号（下記の例外あり）を使わないでください。

DNS 名には、アルファベット文字 (A から Z)、数字 (0 ~ 9)、マイナス記号 (-)、およびピリオド (.) のみ含めることができます。

docs.microsoft.com

正解は？

自分が持っているドメインのサブドメインをADのドメインにします。 example.comの場合は、ad.example.comにすればいいと思います。
※「ad」の代わりに好きな名前を付けます。

ADドメイン名を作り直せるか

結論から申し上げますと、可能ですが、下記のような例外がありますので、最初から適切なドメイン名を選ぶのは大事です。

• Exchangeが展開されているADドメインの名前を変更することはできません（Exchange 2003を除く）

The domain rename operation is not supported in Microsoft Exchange Server 2007 or Exchange Server 2010. DNS domain rename is supported in Exchange Server 2003. However, renaming of the NetBIOS domain name is not supported in any version of Exchange Server. Other non-Microsoft applications might also not support domain rename.

ADドメイン名の変更について、詳しくは下記の記事をご参考ください。

docs.microsoft.com