Jump to content

AD-Domänenname Auswahl

henryy

Von henryy
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

henryy Rising Star

henryy   12

Geschrieben
Geschrieben

Hallo,

 

Ich setzte gerade einen Server 2008 Enterprise auf und stelle mir die Frage nach dem richtigen Domänennamen fürs AD. Die Internetdomäne der Firma liegt bei einem grossen Internetprovider

 

Soweit ich das richtig verstanden haben sollte man domäne.local nicht mehr verwenden( obwohl beim SBS 2008 zb es ja noch standard ist) und in MS Press Büchern wird es auch noch "empfohlen".

 

Es bleibt also nur noch ad Name = internet name oder aber eine Subdomäne für den Ad Namen zu erstellen wie zb ad.domäne.tld

 

Meine Frage ist nun was sind die konkreten Vor und Nachteile dieser beiden Varianten? und wie muss ich jeweils die interne DNS Konfiguration anpassen?

 

Bei Intern = extern müsste ich ja eigentlich nur einen A eintrag für die externe Webseite erstellen damit diese auch intern erreichbar ist oder?

 

Bei ad.domäne.tld muss ich ja eigentlich nichts zusätzlich konfigurieren oder?

 

p.s Den Artikel auf Faq-o-matic habe ich gelsene aber es erschliesst sich mir dadurch zwar vieles aber nicht alles.

 

Danke und Gruß

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben

Ich setzte gerade einen Server 2008 Enterprise auf und stelle mir die Frage nach dem richtigen Domänennamen fürs AD. Die Internetdomäne der Firma liegt bei einem grossen Internetprovider

 

Hast du schon den Inhaber/Chef der Firma gefragt?

 

Es bleibt also nur noch ad Name = internet name oder aber eine Subdomäne für den Ad Namen zu erstellen wie zb ad.domäne.tld

 

Ich tendiere zum Namen der Internet Domain.

 

Meine Frage ist nun was sind die konkreten Vor und Nachteile dieser beiden Varianten? und wie muss ich jeweils die interne DNS Konfiguration anpassen?

 

Bei Intern = extern müsste ich ja eigentlich nur einen A eintrag für die externe Webseite erstellen damit diese auch intern erreichbar ist oder?

 

Richtig, wurde auch schon ein paar mal hier im Board behandelt.

 

p.s Den Artikel auf Faq-o-matic habe ich gelsene aber es erschliesst sich mir dadurch zwar vieles aber nicht alles.

 

Welchen Artikel meinst Du?

Link zu diesem Kommentar
dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben

Ich empfehle heute tendenziell, intern eine Subdomäne der externen Zone als interne Stammdomäne zu verwenden. Also: extern = firma.de, intern = corp.firma.de.

 

Der Grund ist Direct Access und die damit verbundenen Anforderungen an die Namensauflösung intern und extern. Auch wenn Direct Access nicht unmittelbar auf der Agenda eines Kunden steht, gehen wir als Dienstleister beim Bau neuer Gesamtstrukturen und bei Migrationen heute wenn möglich nach diesem Muster vor.

 

Die TLD .local führt immer wieder zu Nachteilen und bringt keinen Sicherheitsgewinn.Der SBS verwendet *.local nur, wenn de Installation nicht mittels Antwortdatei erfolgt. Sonst ist die TLD frei wählbar.

Link zu diesem Kommentar
henryy Rising Star

henryy   12

Geschrieben
  • Autor
Geschrieben

Danke

 

Ich empfehle heute tendenziell, intern eine Subdomäne der externen Zone als interne Stammdomäne zu verwenden. Also: extern = firma.de, intern = corp.firma.de.

 

Der Grund ist Direct Access und die damit verbundenen Anforderungen an die Namensauflösung intern und extern.

 

Die TLD .local führt immer wieder zu Nachteilen und bringt keinen Sicherheitsgewinn.

 

Direct Access ist dann natürlich ein Argument, obwohl wir es noch nicht bei Kunden einsetzen(weil VPN)

 

Weisst du genau welche Nachteile entstehen können bei .local ?

 

Lg herny

Link zu diesem Kommentar
dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben
Weisst du genau welche Nachteile entstehen können bei .local ?

 

z.B. Inkombatibiltät mit dem Netzwerkdienst Rendezvous in Mac OS 10.2 und 10.3 (verwendet .local zur Identifikation des lokalen Gerätes).

 

Microsoft empfiehlt andererseits fortgesetzt die Verwendung von .local als TLD, z.B.:

The Domain Name System name recommendations for Small Business Server 2000 and Windows Small Business Server 2003

 

Alle beschriebenen Vor- und Nachteile sind indes keine, wenn DNS intern sauber konfiguriert ist. Microsoft notiert u.a., dass durch Zonentransfers interne Hosts plötzlich öffentlich sichtbar werden können. Das ist insofern theoretisch, als wir nie einen Zonentransfer von intern nach extern zulassen, intern mit AD-integrierten Zonen arbeiten (also keine Zonendateien anzubieten haben) und auch keine DNS-Abfragen über Port 53 eingehend durch die Firewall des Unternehmens in die Intranetzone zulassen.

 

Microsoft führt weiter an, dass die extern gehostete Website http://www.firma.de von intern nicht erreichbar sein könnte, wenn intern ebenfalls die Zone firma.de verwendet wird. Microsoft führt dann aus, dass ein Host-Eintrag "www" mit der externen IP-Adresse der Website in der internen Zone erforderlich ist, damit Nutzer des internen Netzwerks die externe Website erreichen können. Einen statischen Host-Eintrag in der internen DNS-Zone zu erstellen, ist kein Nachteil, sondern administrative Routine. Und selbstverständlich ist der Host "www" nicht erreichbar, wenn kein Hosteintrag für ihn existiert - so funktioniert nämlich DNS.

 

Und wenn es dann zu Direct Access kommt, empfehlen alle mir bekannten Microsoft-Ingenieure einhellig die Verwendung einer Subdomäne der externen DNS-Zone als interne Stammdomäne - siehe oben.

Link zu diesem Kommentar
henryy Rising Star

henryy   12

Geschrieben
  • Autor
Geschrieben
Moin,

 

also, nicht, dass alle diese Dinge nicht in meinem Artikel ständen ... aber egal.

 

Mal eine andere Frage: Warum ein Enterprise-Server als DC?

 

Gruß, Nils

 

Hallo Nils,

 

ich hatte deinen Artikel gelesen und der hat auch schon einige Fragen gut klären können, aber manches war mir noch nicht deutlich genug geworden.

 

Enterprise desswegen, weil es eine 1:4 Lizens ist, also auf einen Physikalischen Server kann ich 4 Virtuelle nutzen, die ich auch brauchen werde für dieses Kunden-Projekt.

 

lg Henry

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben
Ich empfehle heute tendenziell, intern eine Subdomäne der externen Zone als interne Stammdomäne zu verwenden. Also: extern = firma.de, intern = corp.firma.de.

 

Der Grund ist Direct Access und die damit verbundenen Anforderungen an die Namensauflösung intern und extern. Auch wenn Direct Access nicht unmittelbar auf der Agenda eines Kunden steht, gehen wir als Dienstleister beim Bau neuer Gesamtstrukturen und bei Migrationen heute wenn möglich nach diesem Muster vor.

 

Du kannst mir bestimmt erklären, wie das genau mit Direct Access zusammenhängt.

 

Vielen Dank schon im Voraus.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...