Хотя использование одноуровневого имени домена (single-label domain) не является критической ошибкой, при планировании нового домена AD настоятельно рекомендуется создавать по меньшей мере домен второго уровня (например firma.local). Данная рекомендация связана с тем, что в случае одноуровневого имени домена может возникать ряд сложностей, как при настройке пересылки запросов и динамического обновления зон, так и в разрешении имен домена (связано это с совпадением FQDN домена и его короткого NetBIOS имени). Критической ошибкой будет использование одноуровневого имени домена совпадающего с существующими доменами первого уровня сети интернет, например .ru, .biz и так далее.
Отсутствие зоны обратного разрешения имен для сетей входящих в домен AD.
При создании нового домена с помощью мастера установки Active Directory, чаще всего используется функция автоматической установки и настройки DNS сервера на контроллере домена. При этом мастер не создает обратную зону DNS запросов, что в дальнейшем может негативно сказаться на быстродействии работы сети и вызвать ряд ошибок в функционировании. Настоятельно рекомендуется создать обратные зоны для всех сетей входящих в AD.
Наличие зоны "." на сервере DNS домена
Хотя наличие зоны "." на сервере DNS домена в ряде случаев может быть оправдано, в большинстве случаев такая настройка является ошибочной. В случае наличия зоны "." на сервере DNS данный DNS сервер считает себя корневым сервером DNS сети и функция пересылки запросов на данном сервере будет недоступна. Данная ситуация порождает невозможность разрешения зон интернет и частных зон провайдеров (например provider.local), что соотвественно делает невозможным доступ к данным ресурсам с клиентов DNS сервера.
В большинстве случаев рекомендуется удалить зону "." с сервера DNS домена.
Рекомендации по ряду неочевидных вопросов
В настройках сетевых подключений контроллеров домена указаны DNS сервера расположенные на соседних контроллерах.
В ряде случаев администраторы в настройках КД указывают DNS сервера расположенные на других контроллерах домена, например на DC1 указывают сервера контроллеров DC2 и DC3, а на DC3 - DC1 и DC2 соотвественно.
Чем-то похожая схема использовалась для корректной работы доменов основанных на Windows 2000 Server. В общем случае предусматривалась следующая схема работы:
DC1 в настройках сетевых подключений настроен только на свой собственный DNS сервер
DC2 в настройках сетевых подключений настроен на DC1 как основной и DC3 как дополнительный DNS сервер
DC3 в настройках сетевых подключений настроен на DC1 как основной и DC2 как дополнительный DNS сервер
Данный вариант можно признать работоспособным и в случае доменов основанных на 2003 и более поздних версиях Windows Server, однако стоило бы заметить, что Windows 2003 сервер и более поздние его версии избавлены от ряда ошибок 2000 версии и как следствие не требуют подобной настройки.
Более того, данный вариант несколько снижает доступность DNS сервера для каждого контроллера. Например в случае плановой или аварийной перезагрузки сервера DC2, его DNS становится недоступным для остальных контроллеров, что может вызвать операцию ротации DNS серверов на DC3 и следовательно породить ряд некритичных сообщений о ошибках. В случае же плановой или аварийной остановки DC1 и DC2 в вышеупомянутой сети, контроллер DC3 так же временно выходит из строя, т.к. даже при доступности собственного DNS, он его не опрашивает.
Наиболее показательным в случае построения сети на Windows 2003 Server или более поздних его версиях является указание в качестве первого DNS собственного IP контроллера или IP 127.0.0.1, что в общем случае может обеспечить нормальную доступность первого DNS в случае нормального функционирования контроллера. В качестве дополнительных DNS в данном случае указывается один или более DNS серверов расположенных на соседних контроллерах домена (начиная от DNS серверов того же домена расположенных как можно "ближе" и заканчивая DNS серверами леса)
Использование одинаковых доменных имен для ресурсов с разной IP адресацией.
В ряде случаев администраторы создают одинаковые доменные имена для домена АД и ресурсов расположенных в сети Internet. Например имя sysfaq.ru используется и как доменное имя AD и как доменное имя сайта в сети Internet.
Данное использование не является ошибкой. Но порождает ряд трудностей, напрмер невозможность обращения к интернет сайту sysfaq.ru из сети AD.
В общем случае различной ip адресации ресурсов расположенных в сетях интранет и интернет, для них рекомендуется использовать разные имена, например если для интернет ресурсов используется имя sysfaq.ru, то для интранет ресурсов нужно использовать имена sysfaq.local или local.sysfaq.ru (при этом имя local.sysfaq.ru не должно быть разрешимым в сети интернет).
Использование CNAME или других видов алиасов в случаях сервисов использующих авторизацию kerberos
