Un très bon article du blog mdmarra.com qui explique pourquoi c’est une mauvaise idée de nommer les domaines Active Directory en .local ou .lan comme il est coutume de le faire:
En substance, il dit que qu’il faut créer un sous-domaine qui soit une délégation d’un domaine parent dont vous avez la gestion. Comme: interne.mondomaine.com ou lan.mondomaine.com
Il en profite pour réfuter certaines vérités comme notamment le fait que SBS nomme ses domaines de cette façon. Ce n’est pas une raison quand on sait que SBS est fait pour des utilisateurs n’ayant pas de connaissances dans l’AD. Ou encore que certains pensent qu’ils seront protéger des attaques extérieurs s’ils nomment leur domaine en .local. C’est évidemment faux.
Il appuie en revanche ses propos en se basant sur les Best Practices de Microsoft qui existent depuis les années 2000.
Mais c’est surtout un article qu’a publié le CA/Browser en charge des recommandations en matières de certificats SSL: Internal Server Names and IP Address Requirements for SSL: Guidance on the Deprecation of Internal Server Names and Reserved IP Addresses provided by the CA/Browser Forum (PDF). En gros les principaux revendeurs n’émettront plus de certificats pour les domaines fabriqués en .local ou .lan (ou autre).
