Pré-Requisitos: Conhecimento básico do Active Directory e do DNS.

Metodologia: Apresentar aspectos importantes a serem considerados no planejamento do espaço de nomes.

A primeira decisão que a equipe de planejamento deve tomar é sobre o espaço de nomes que será utilizado. Esta decisão é importante independentemente de qual seja a situação de migração/implementação da sua rede:

• Implementação de uma nova rede baseada no Windows Server 2003.
• Migração do NT Server 4.0 para o Windows Server 2003.
• Migração do Windows 2000 Server para o Windows Server 2003.
• Migração de outros Sistemas Operacionais de servidores para o Windows Server 2003.

No Windows 2000 Server e no Windows Server 2003, o nome do domínio é diretamente relacionado com a estrutura de nomes do DNS. Por exemplo, um domínio do Active Directory,  nomeado abc.com.br com certeza é baseado em um domínio do DNS também chamado abc.com.br. Mais do que uma ligação existe uma dependência entre o Active Directory e o DNS. Não é possível criar um novo domínio ou um novo DC em um domínio já existente, sem ter acesso a um servidor DNS capaz de resolver o nome do domínio.

Existem algumas características que vale a pena revisarmos antes de falar sobre o planejamento do espaço de nomes da sua rede.

Conforme descrito no Capítulo 5, o Windows Server 2003 permite que uma rede de grandes proporções seja dividida em partes menores conhecidas como domínios. Um domínio funciona como uma divisão em termos de administração e de segurança. É possível delegar a administração do domínio para um ou mais administradores e é possível definir políticas de segurança que se aplicam a todos os elementos do domínio – usuários, grupos, computadores e servidores. Os vários domínios estão ligados através de relações de confianças que são criadas e gerenciadas automaticamente pelo Windows Server 2003. Uma das condições para criar uma estrutura de domínios é que estes formem um espaço de nome contínuo. Vários domínios, formando um espaço de nomes contínuo, representam o que é conhecido por uma árvore de domínios. Explicarei o que significa um espaço de nomes contínuo e uma árvore de domínios logo a seguir.

Árvore de domínios:

Quando existem diversos domínios relacionados através de relações de confiança, criadas e mantidas automaticamente pelo Active Directory, temos a estrutura conhecida como Árvore de domínios. Uma árvore nada mais é do que um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows Server 2003, os quais “compartilham um espaço de nome”, isto é, formam um espaço de nomes contínuo.

Vou explicar em detalhes o que significa a expressão “compartilham um espaço de nome”. Primeiramente observe a Figura 6.1.

Figura 6.1 Todos os domínios de uma árvore compartilham um espaço de nomes em comum.

Observe que é exibida uma árvore com 7 domínios. Mas o que significa mesmo “compartilham um espaço de nome”?

Observe que o domínio inicial é microsoft.com. Este domínio é conhecido como domínio root (raiz) da árvore de domínios. Os domínios seguintes (no segundo nível) são: vendas.microsoft.com e suporte.microsoft.com. Quando é formada uma hierarquia de domínios, compartilhar um espaço de nomes, significa que os nomes dos objetos filho (de segundo nível, por exemplo: vemdas.microsoft.com e suporte.microsoft.com), contém o nome do objeto pai (microsoft.com). Por exemplo, vendas.microsoft.com contém microsoft.com. Descendo mais ainda na hierarquia, você pode observar que este fato continua verdadeiro. Por exemplo o objeto filho sistemas.vendas.microsoft.com contém o nome do objeto Pai vendas.microsoft.com e assim por diante.

Com isso uma árvore de domínios deste tipo forma um espaço de nomes contínuo, onde o nome do objeto filho sempre contém o nome do objeto pai.

Esta é uma das situações mais comuns, onde a rede da empresa é formada por uma única árvore de domínios, com um domínio root e com os demais domínios formando um espaço de nomes contínuo. Observe que o espaço de nomes representa exatamente a estrutura de DNS da empresa. Por isso que projetar a estrutura de domínios, isto é, o espaço de nomes, é basicamente projetar a implementação dos domínios e da estrutura do DNS que dará suporte a criação dos domínios.

Claro que na prática,  nem tudo é assim, digamos, “tão certinho”. Hoje, com a economia globalizada, é comum a fusão entre empresas, ou empresas de grande porte comprando empresas menores ou incorporação de empresas e assim por diante. Na prático, o que acontece nestas situações é que a equipe de TI fica com diferentes estruturas de rede que tem que ser integradas. Por exemplo, quando a empresa A compra a empresa B, existe a rede da empresa A e a rede da empresa B. Estas redes tem que ser integradas, usuários de uma rede podem ter que acessar recursos em servidores da outra rede e vice-versa. Enfim, uma bela dor de cabeça para a equipe responsável pela implementação e administração da rede.

Em muitas situações simplesmente não é possível fazer a integração das duas redes, convertendo tudo para um espaço de nomes só, de tal forma que exista uma única árvore de domínios. Pode acontecer de a equipe ter que conviver com duas ou mais árvores de domínios, dentro da mesma rede. Neste caso, este conjunto de árvores de domínio forma o que é conhecido como floresta (o nome é bem sugestivo). Na Figura 6.2 você tem um exemplo onde foi feita a fusão entre duas empresas e foram mantidas duas árvores de domínios na rede, formando desta maneira uma floresta. Observe que dentro de cada domínio, o espaço de nomes é contínuo, mas na floresta como um todo não, já que a estrutura de nomes nas diferentes árvores não tem nenhum tipo de relacionamento hierárquico.

Figura 6.2 Uma floresta formada por duas árvores de domínios.

Nestas situações, onde existe uma floresta de domínios não integrados, o planejamento torna-se bem mais complexo. A equipe tem que tomar decisões do tipo:

• Manter as árvores de domínois não integradas, separadas e permitir o acesso de usuários de uma árvore em recursos das outras árvores usando relações de confiança ou projetar a migração de todas as árvores e a consolidação de toda a rede em uma árvore única?
• Desativar algumas árvores e/ou domínios? E os recursos existentes nos servidores dos domínios da árvore que será desativada, como transferí-los para a nova estrutura e garantir o acesso aos usuários?
• Em termos financeiros, de resultados e melhorias reais para a empresa, vale a pena fazer uma consolidação de toda a estrutura da rede em uma única floresta ou este é apenas um desejo da equipe técnica para ter uma estrutura mais “enxuta”, mais fácil de gerenciar?

São questões difíceis e muitas outras poderiam ser colocadas, dependendo de cada situação específica. Mas o fato principal é: quer seja uma única árvore de domínios ou uma floresta formada por duas ou mais árvores, precisa haver uma definição em relação ao espaço de nomes que será utilizado na rede.

O espaço de nomes pode ser projetado com base em diferentes critérios, sendo os dois principais os seguintes critérios:

• Geográficos
• Funcionais
• Mistos

Cada abordagem tem suas vantagens e desvantagens, conforme discutirei logo a seguir.

O espaço de nomes baseado em critérios geográficos:

Como o próprio nome sugere, o espaço de nomes baseado em critérios geográficos, reflete a distribuição geográfica das diversas unidades da empresa. Vamos imaginar uma empresa que tenha a matriz em São Paulo e escritórios no Rio de Janeiro, Minas Gerais, Recife, Belém, Cuiabá e Porto Alegre. Um exemplo simples do que poderia ser o espaço de nomes dessa empresa, está indicado na Figura 6.3:

Figura 6.3 Um espaço de nomes de dois níveis, baseado em critérios geográficos.

Neste exemplo cria-se um domínio root, com o mesmo nome da empresa. Neste exemplo abc.com. Este domínio root normalmente é formado por um único DC, cuja única função é fazer o papel de domínio root da árvore de domínios. O mais comum é o domínio root ser criado em um servidor que fica na matriz da empesa ou em outras situações, na filial que possuir o link de WAN mais veloz.

Nota: Mais adiante mostrarei que mais uma das decisões que tem que ser tomadas, durante o projeto do espaço de nomes, é se o domínio interno será o mesmo que o domínio externo, usado pela empresa na Internet; ou se serão domínios diferentes.

Após a criação do domínio root, que no nosso exemplo é abc.com, pode ser iniciado o processo dos domínios de segundo nível. Estes domínios podem ser criados em qualquer ordemd. Na prática, no exemplo proposto, provavelmente, o primeiro domínio de segundo nível a ser criado seria o domínio: sp.abc.com. Este seria o domínio utilizado pela matriz da empresa, em SP. Observe que o domínio abc.com está apenas fazendo o papel de root, de união entre os domínios da árvore. Na prática, os usuários, servidores e estações de trabalho da rede da filial em SP farão parte do domínio sp.abc.com.

Os demais domínios de segundo nível podem ser criados simultaneamente, sem ter que obedecer a uma ordem específica. Uma vez criados os domínios de segundo nível, você terá um espaço de nomes que reflete a divisão deográfica da empresa. Por exemplo, os usuários, estações de trabalho e servidores da rede da filial em Porto Alegre, todos pertencem ao domínio rs.abc.com. Com esta estrutura é feita uma divisão da rede da empresa, o que facilita a descentralização da administração da rede. Por exemplo, pode haver um administrador em cada filial, responsável pela administração do respectivo domínio. O administrador do escritório em SP tem permissões de administrador em todos os recursos do domínio sp.abc.com, o administrador da filial no RJ tem permissões de administrador em todos os recursos do domínio rj.abc.com e assim por diante.

Além disso, com as relações de confiança que são criadas entre os domínios, automaticamente pelo Windows Server 2003, um usuários de um domínio pode receber permissões de acesso para recursos localizado em qualquer outro domínio da árvore. O usuário também pode fazer o logon em qualquer estação de trabalho da rede. Por exemplo, imagine um usuário da filial em Porto Alegre, vai para uma reunião na filial de SP. Ao chegar em SP, o usuário acessa uma estação de trabalho do domínio sp.abc.com, porém, mesmo sendo a estação do domínio sp.abc.com, o usuário poderá fazer o logon usando a sua conta no domínio rs.abc.com. Para isso basta selecionar o domínio rs.abc.com, na lista de domínios, na tela de logon (estou supondo estações de trabalho com o Windows 2000 Professional ou Windows XP Professional. Para estações de trabalho com o Windows 95/98 ou Me, seria preciso que o WINS estivesse configurado e funcionando em todos os domínios). Além disso este usuário pode acessar recursos nos servidores do domínio sp.abc.com, desde que a sua conta de usuário tenha recebido as devidas permissões de acesso.

Estas facilidades todas fazem parte da estrutura do Windows Server 2003 e do Active Directory, e são viabilizadas pelo mecanismo de relações de confiança entre domínios, mecanismo este descrito no Capítulo 5. Estas funcionalidades independem de o espaço de nome ter sido projetado com base em critérios geográficos,  funcionais ou mistos.

Projetar o espaço de nomes com base em critérios geográficos tem as seguintes vantagens:

• São utilizados nomes de domínios que dificilmente mudarão. Por exemplo, pode até acontece de o domínio rs.abc.com ser extinto, mas difícilmente irá mudar. Com a estabilidade dos nomes fica mais fácil planejar, implementar e administrar a rede.
• Não gerá dúvidas ou descontentamentes em relação aos nomes selecionados para cada domínio. A maioria dos usuários não dara a mínima importância para o nome escolhido para o domínio onde ele trabalha. Mas sempre haverá usuários descontentes, que gostariam de utilizar outros nomes. Já com o uso de critérios geográficos, não resta margem a dúvidas. Por exemplo, o domínio do escritório de Porto Alegre só pode ser rs.abc.com ou sul.abc.com ou poa.abc.com, mas nunca sp.abc.com ou norte.abc.com. Quanto a isso não há discussão.
• Uma estrutura de nomes baseada em critérios geográficos oferece grande flexibilidade, uma vez que a divisão dos domínios representa, basicamente, a localização das unidades da empresa. Com isso se a empresa vier a crescer, pode ser criados domínios de terceiro, quarto ou mais nívesi, conforme a necessidade. Com este critérios, em cada escritório existem servidores, computares e usuários de um único domínio, o que também facilita a administração.

Projetar o espaço de nomes com base em critérios geográficos tem as seguintes desvantagens:

• O espaço de nomes não reflete a divisão funcional, hierárquica da organização. Por exemplo, com o critério geográfico, pode ser que uma empresa que está dividida em unidades de negócio: suprimentos, impressoras, computadores e software, tenha uma divisão de domínios assim: sul.abc.com, sudeste.abc.com, nordeste.abc.com, centro-oeste.abc.com e norte.abc.com. Ou seja, o espaço de nomes não diz absolutamente nada em relação a maneira como a empresa está estruturada.
• Dependendo das necessidades específicas de cada unidade, pode ser necesária a criação de um número maior de domínios do que se estivesse sendo utilizado o critério organizacional, sobre o qual falarei logo a seguir.

O espaço de nomes baseado em critérios organizacionais:

Como o próprio nome sugere, o espaço de nomes baseado em critérios organizacionais, reflete a estrutura funcional, organizacional da empresa. . Vamos imaginar uma empresa que atua na área de informática, atuando na venda de hardware, software e suprimentos. Vamos chamar esta empresa de xyz. Um exemplo simples do que poderia ser o espaço de nomes dessa empresa, baseado em critérios organizacionais, está indicado na Figura 6.4:

Figura 6.4 Um espaço de nomes de dois níveis, baseado em critérios organizacionais.

A exemplo do que foi feito com a divisão em critérios geográficos, na divisão por critérios organizacionais também foi criado um domínio root: xyz.com. Em seguida foram criados domínios de segundo nível, com base nas divisões de negócios da empresa:

• soft.xyz.com
• hard.xyz.com
• supr.xyz.com

Esta divisão reflete exatamente a visão de negócios, ou seja, mostra em quais unidades de negócios e/ou grandes linhas de produtos está dividida a empresa. A exemplo da divisão por critérios geográficos, a divisão por critérios organizacionais também tem as suas vantagens e desvantagens, as quais descrevo e comento logo a seguir.

Projetar o espaço de nomes com base em critérios organizacionais tem as seguintes vantagens:

• Reflete exatamente a divisão da empresa, em termos de organização do negócio.
• É fácil de entender e de interpretar.
• Permite que os recursos sejam agrupados em servidores de acordo com as necessidades de cada unidade de negócio.

Projetar o espaço de nomes com base em critérios organizacionais tem as seguintes desvantagens:

• É difícil adaptar e alterar quando a empresa é reestruturada e mudam as divisões de negócio e a estrutura funcional da empresa.
• Pode gerar descontentamentos por parte dos usuários, com inconformidade em relação ao nome selecionado para o domínio onde o usuário trabalha.
• Apresenta dificuldades de adaptação quando ocorre a fusão ou divisão de unidades de negócios da empresa.
• Pode ser difícil (muitas vezes até impossível) de implementar na prática, caso as divisões de negócio estejam “espalhadas” ao longo de várias localidades.

Esta última desvantagem merece algumas considerações adicionais.

Vamos utilizar o exemplo da empresa fictícia xyz.com, apresentado na Figura 6.4. Esta empresa está organizada em torno de três grandes divisões de negócios: software, hardware e suprimentos. Agora imagine que esta empresa tem a matriz no Rio de Janeiro e filiais em diversas cidades do Brasil. Vamos imaginar que uma determinada divisão de negócios não está concentrada (seus servidores, usuários e recursos) somente em uma localidade. Digamos que parte da divisão de hardware está no escritório em São Paulo, outras funções são atendidas pelo escritório do Rio de Janeiro e uma terceira parte desta divisão é atendida por uma equipe do escritório em Porto Alegre. Acontece que em cada um destes escritórios citados (São Paulo, Rio de Janeiro e Porto Alegre), também existem equipes da divisão de software e da divisão de suprimentos. Com isso, na mesma localidade, no mesmo site (veja o Capítulo 5 para o conceito sobre Sites), existirão servidores, computadores e usuários de três domínios diferentes: soft.xyz.com, hard.xyz.com e supr.xyz.com.

Vejam que esta situação torna o entendimento e a administração da rede bastante confusa. Como será a administração desta estrutura? No exemplo de Porto Alegre, haveria três administradores, um para cada domínio ou um único administrador com poderes nos três domínios. Agora considere o nível de complexidade que seria para um rede de grande porte, com filiais em todos os estados do Brasil e com várias unidades de negócios. Realmente a estrutura baseada em critérios organizacionais não é das mais simples para manter, implementar e administrar.

O fato real é que não existe a chamada regra de ouro ou o modelo ideal. Projetar um espaço de nomes para a árvore de domínios da empresa, envolve um processo de análise cuidadoso, muitas ponderações e horas de discussões. Existem alguns princípios básicos que devem ser lembrados e devem servir como diretrizes para a equipe que irá projetar o espaço de nomes:

• Quanto mais simples melhor: projetar um espaço de nomes com dezenas de domínios, tentando atender toda e qualquer necessidade específica, levantada durante a fase de projeto, não é nada bom. Quanto mais simples, melhor. Mostre a figura com o desenho dos domínios projetados, para o presidente da empresa. Se ele disser: “esta é a minha empresa”. Perfeito. Se ele disser: “Essa não é a minha empresa, é?” Você já está no caminho. Se ele disser: “Essa, com certeza, não é a minha empresa!”. Rasgue o desenho e comece tudo de novo.
• O espaço de nomes deve ser fácil de manter, alterar e atualizar. Pergunte se o espaço de nomes projetado não gera dificuldades para excluir um domínio, migrando seus recursos para outro domínio. Se a estrutura projetada permite a criação de níveis adicionais de domínios.
• Sempre leve em consideração as questões relacionadas ao tráfego de replicação do Active Directory. Falarei um pouco mais sobre esta questão, quando eu falar sobre o planejamento de sites, grupos, unidades organizacionais e servidores de catálogo global.

Na prática, o que mais se vê nas empresas é um modelo misto, onde os níveis iniciais de domínios são baseados ou no critério geográfico ou no critério organizacional e os últimos níveis são baseados em um critério diferente do critério usado para os níveis iniciais. Na Figura 6.5, apresento um exemplo de um espaço de nomes, baseado em critérios organizacionais no segundo nível de domínios e em critérios geográficos no terceiro nível. Um modelo deste tipo é conhecido como modelo misto.

Figura 6.5 Um espaço de nomes misto, baseado em critérios organizacionais e geográficos.

Observe que de um espaço misto de nomes é possível extrair muita informação da empresa. Por exemplo, pelo espaço de nomes apresentado na Figura 6.5, você pode concluir que o escritório de São Paulo (sp), atende funções relacioandas as três divisões de negócios da empresa: hardware, software e suprimentos. Neste exemplo, na rede do escritório de SP, haveria três domínios diferentes:

• sp.hard.xyz.com
• sp.soft.xyz.com
• sp.supr.xyz.com

Este tipo de configuração gera dificuldades adicionais e muitas vezes custos adicionais. Por exemplo. No mínimo, seriam necessários três servidores configurados como DCs no escritório em SP, um para cada domínio. Claro que poderia ser utilizado DCs de outras unidades, porém essa não é uma boa solução. Primeiro porque isso tornaria o processo de logon bem mais lento, o que normalmente desagrada ao usuário. E segundo, porque usndo DCs remotos, quando houver algum problema no link de WAN, ninguem conseguirá fazer o logon no domínio e, com isso, não terá acesso aos recursos disponíveis nos servidores do domínio.

O meu objetivo ao apresentar estas fatos é alertar você sobre as dificuldades em se projetar um espaço de nomes e os fatos relevantes que devem ser considerados. O projeto do espaço de nomes, conforme comentado anteriormente, não é uma “ciência exata”. Não existe uma solução pronta. Existem apenas diretivas e fatos que devem ser considerados.

Para adicionar mais um ingrediente ao projeto do espaço de nomes, existe mais um fator (porém importantíssimo) que deve ser considerado: Usar o mesmo domínio para a rede interna e para a Internet ou usar domínios diferentes? A seguir vou falar um pouco sobre as vantagens/desvantagens de usar o mesmo domínio para a rede interna e para a Internet e as vantagens/desvantagens em utilizar domínios diferentes.

Espaço de nome interno e externo.

Você pode pensar que esta e uma questão óbvia e que o nome DNS da empresa (por exemplo, abc.com), deve ser o mesmo, tanto para a rede interna (Intranet da empresa) quanto para a Internet. Porém não é exatamente assim. Ambas as abordagens – usar o mesmo nome DNS ou nomes diferentes – tem vantagens e desvantagens, as quais serão discutidas neste tópico.

Usando o mesmo nome DNS.

Com esta abordagem é utilizado o mesmo nome DNS, tanto para os computadores da Intranet da empresa, quanto para os computadores que estão diretamente ligados à Internet. A estratégia neste caso é que apenas um número reduzido de servidores estará diretamente “exposto” à Internet. Diz-se que estes servidores estão “visíveis” na Internet. Os servidores que estão “visíveis” na Internet fazem parte da chamada zona “desmilitarizada”, isto é, zona que não está diretamente protegida pelo firewall da rede. O restante da rede está “atrás” do firewall, na zona conhecida como zona militarizada. O diagrama da Figura 6.6 mostra um exemplo onde é utilizado o mesmo nome DNS, tanto internamento quanto na Internet.

Figura 6.6 O mesmo DNS interno e externo.

Neste exemplo, é utilizado o domínio xyz.com, tanto para a Intranet, quanto para os servidores conectados à Internet. O Firewall (conjunto de equipamentos de hardware e programas que faz a proteção da rede internat, contra ataques vindos da Internet) é o responsável pela proteção da rede interna da empresa, contra ataques vindos da Internet. A zona não protegida pelo Firewall, visível na Internet é a zona desmilitarizada (uma alusão a não protegida). A rede interna, protegida pelo firewall (diz-se atras do firewall) é a zona militarizada

Utilizar o mesmo nome DNS na rede interna e na Internet tem as seguintes vantagens:

• Mantém uma consistência na nomeação de todos os recursos, servidores, usuários e demais equipamentos da rede.
• É necessário registrar apenas um nome DNS, o qual será utilizado ao longo de toda a rede.
• Os usuários tem uma identidade única de logon e o email do usuário é consistente com o domínio da rede. Por exemplo, imagine que a rede tenha nomes diferentes para o domínio interno e externo: xyz.com para o interno e corp.com para a Internet. Neste caso,o logon do usuário na rede interna seria jsilva@zyz.com, enquanto o seu email seria jsilva@corp.com, o que pode causar confusão. Com o uso de um único nome, este problema é evitado.

Utilizar o mesmo nome DNS na rede interna e na Internet tem as seguintes desvantagens:

• As configurações no firewall são complexas e difíceis de serem implementadas, mantidas e atualizadas. Isso porque parte da rede tem que estar “escondida” da Internet e parte tem que estar visível, isso tudo sendo o mesmo domínio DNS.
• Requer a manutenção de diferentes partes da rede (militarizada e desmilitarizada), com configurações que precisam ser diferentes, por questões de segurança, porém com o mesmo nome DNS.
• Como as configurações de segurança são diferentes, pode acontecer de um usuário precisar acessar os recursos de maneira diferente, dependendo de ele estar acessando um recurso da Intranet ou dos servidores que estão na Internet.

Usando o nomes DNS diferentes.

Com esta abordagem é utilizado um nome DNS para a rede interna (Intranet) e um nome DNS diferente para a empresa na Internet. Nesta situação diferentes nomes serão utilizados para as máquinas da rede interna da empresa e para as máquinas diretamente ligadas à Internet. O diagrama da Figura 6.7 mostra um exemplo onde são utilizados diferentes nomes DNS:

Figura 6.7 Nomes DNS interno e externo são diferentes.

Neste exemplo é utilizado o domínio xyz.com para a rede interne, ou seja, para a Intranet da empresa. Já para a Internet é utilizado o domínio corp.com. Neste caso, um servidor da rede interna teria, por exemplo, o nome srv01.xyz.com; já o site da empresa, provavelmente teria o seguinte endereço: www.corp.com. Esta abordagem também tem vantagens e desvantagens, conforme descrevo a seguir.

Um detalhe importante a ser observado é que o nome interno (xyz.com no exemplo da Figura 6.7), também deve ser registrado. O registro do nome interno é importante (embora ele não esteja sendo utilizado na Internet), para evitar que outra empresa registre o nome que você pretende usar internamente. Pois se isso acontecer, poderá haver confusão em relação a resolução de nomes. Por exemplo, se você usa o nome interno xyz.com e não registrou este nome. Em seguida surge uma outra empresa que registra o nome internet xyz.com. Neste caso, quando você acessa, por exemplo, o site www.xyz.com. Você irá acessar a Intranet da sua empresa (com domínio interno xyz.com) ou o site Internet da empresa xyz.com? Por isso a dica, mesmo que seja um nome para uso interno, é conveniente registrá-lo, para evitar confusões e problemas.

Utilizar nomes DNS interno e externo diferentes tem as seguintes vantagens:

• Distingue, de maneira bem clara, qual porção da rede é interna e qual é externa (conectada diretamente à Internet).
• As configurações nos serviços de Firewall e Proxy são bem mais simples e fáceis de implementar do que no caso de utilização do mesmo nome DNS, interna e externamente.
• Fornece uma visão clara, sem confusões, para os usuários. O usuário identifica facilmente quando um recurso está disponível na Intranet da empresa ou quando o recurso está disponível na Internet.

Utilizar nomes DNS interno e externo diferentes tem as seguintes desvantagens:

• Requer o registro de dois nomes diferentes, um interno (não é obrigatório o registro, mas é recomendado, conforme comentado anteriormente) e um externo.
• Os usuários tem uma identidades diferentes para o logon na rede interna e para o email do usuário. Por exemplo, imagine que a rede tenha nomes diferentes para o domínio interno e externo: xyz.com para o interno e corp.com para a Internet. Neste caso,o logon do usuário na rede interna seria jsilva@zyz.com, enquanto o seu email seria jsilva@corp.com, o que pode causar confusão. Esta é uma das desvantagens de se utilizar nomes DNS interno e externo diferentes.

Para encerrar as recomendações sobre o projeto do espaço de nomes, vale reforçar algumas dicas já destacadas anteriormente. Primeiro a simplicidade. Projetar uma extensa árvore de domínios, com dezenas de domínios não é certamente a solução mais adequada. Definir o espaço de nomes não é uma ciência exata. Não existe fórmula pronta, nem solução única. Porém é fundamental fazer quantas análises e ponderações forem necessárias, durante a fase de projeto. Pois mudar a estrutura de domínios é possível, porém extremamente trabalhoso.

Já apresentei considerações gerais, sobre objetivos de negócios e objetivos técnicos. Já falei sobre o projeto do espaço de nomes. Agora é hora de descer mais um nível e fazer considerações sobre domínios e unidades organizacionais.