kugman 10 Geschrieben 26. April 2013 Melden Teilen Geschrieben 26. April 2013 Hallo zusammen, ich plane gerade die komplette Neu-Erstellung unserer AD-Struktur auf der grünen Wiese auf Basis von Windows Server 2012. Sprich keine Migration sondern wirklich alles neu erstellen. Hintergrund: vor einigen Jahren haben wir umfirmiert und tragen immer noch den alten Firmennamen in der Domäne. Da wir unsere eigenen öffentlichen DNS-Server betreiben ist der alte Firmenname immernoch sichtbar, auch bei der Anmeldung an der Domäne sowie im DFS. Zudem ist die Gesamtstruktur so verwurschtelt und von NT4.0 über die Jahre hochmigriert, dass es sicherlich gut tut, das mal ordentlich dokumentiert neu zu machen. Diese Entscheidung ist getroffen und steht hier nicht zur Diskussion. Zumal MS selbst bescheinigt hat, dass es nicht möglich ist unsere Struktur "umzubenennen" oder zu migrieren. Ergo: Alles neu macht hoffentlich der Mai. Meine Frage: Unsere Internet-Domain ist firmenname.com so soll auch die neue Gesamtstruktur heißen. Also nicht firmenname.local. Das interne Netz ist ein maskiertes Class-B Netz (172.16.x.y), unsere öffentlichen IPs sind ein halbes und ein viertel Class-A Netz. (für DMZ etc...) Bisher haben unsere DNS-Server eben externe IP-Adressen und diese sind auch in den Rechnern als DNS-Serveradresse eingetragen. Ist das sinnvoll? Wäre es nicht sinnvoller einen internen und zwei externe DNS-Server zu haben? Also quasi einen hidden primary im internen Class-B-Netz und eben die beiden öffentlichen? Und wenn ja, wie mach ich das mit Windows-Bordmitteln? herzlichen Dank schon mal für die Unterstützung. mit freundlichen Grüßen, Markus Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 26. April 2013 Melden Teilen Geschrieben 26. April 2013 Moin, das AD sollte immer einen rein internen Namensraum haben. Interne Namen und Adressen haben im öffentlichen DNS nichts zu suchen. Macht also zwei "getrennte" DNS-Systeme, eins nur mit den externen Adressen (Webserver, MX und so), von außen zugänglich, und eins nur mit den internen Adressen, nur intern zugänglich. [Welcher Name ist der beste für eine AD-Domäne? | faq-o-matic.net]http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/ [Welches Domänenmodell ist das Beste für Active Directory? | faq-o-matic.net]http://www.faq-o-matic.net/2007/06/09/welches-domaenenmodell-ist-das-beste-fuer-active-directory/ [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Die Fragen klingen nach einer größeren Struktur - ich hoffe für euch, dass ihr jemanden habt, der euch bei einem solchen Migrationsvorhaben kompetent unterstützt. Kriegt man alles hin, ist aber nicht ohne. Gruß, Nils Zitieren Link zu diesem Kommentar
kugman 10 Geschrieben 26. April 2013 Autor Melden Teilen Geschrieben 26. April 2013 die Idee mit dem rein internen Namensraum finde ich gut udn wichtig, dennoch müssen die beiden DNS-Zonen gleich heißen - also firmenname.com. auf dem inneren DNS-Server werden dann alle internen Eintäge gehostet und eine Weiterleitung an den externen DNS oder an die resolver der DTAG eingerichtet? Ja, ist tatsächlich eine größere Struktur, inkl. Telefonie per OCS (wird in diesem Zuge gleich nach Lync migriert), Exchange 2007 (wird auch gleich nach 2013 migriert). Ein ISA2006 ReverseProxy ist dabei, BizTalk-Server, diverse SQL-Server - die ganze Bandbreite halt... Als Goldpartner bekommen wir hier zum Glück direkt Support von MS Gruß Markus Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 26. April 2013 Melden Teilen Geschrieben 26. April 2013 Mir wäre es aber neu, das MS direkt die Migration durchführt? Wenn Ihr den Gold Status habt, dann sollte sich bei euch doch jemand mit DNS/AD auskennen? Das was du im DNS vorhast ist doch gang und gebe. Interne AD Server die auch DNS sind (natürlich auch bei den Clients eingetragen) und von da DNS Weiterleitungen ins Internet (wir nehmen meistens 8.8.8.8 von Google und noch einen vom Provider als Secondary). Zitieren Link zu diesem Kommentar
kugman 10 Geschrieben 26. April 2013 Autor Melden Teilen Geschrieben 26. April 2013 Da gibts keinen Migrationsweg, da das Thema Domain-Rename u.A. am Exchange und an den SQL-Servern scheitert... Direkten Hands-On-SUpport von MS bekommen wir natürlich nicht. Das ist klar. Tun müssen wir's selber Wenn Ihr den Gold Status habt, dann sollte sich bei euch doch jemand mit DNS/AD auskennen? ...gibt ja auch noch andere Kompetenzen wie ISV oder ähnliches... Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 28. April 2013 Melden Teilen Geschrieben 28. April 2013 Ich verstehe immer noch nicht, warum Ihr Eure interne AD-Domäne nicht Firma.local nennen könnt. Wenn der externe DNS alle .com-Einträge und das restliche Internet auflöst, sollte das kein Problem sein. Am internen DNS einfach alle unbekannten Adressen an den externen DNS weiterleiten. An den AD-Membern und DC's werden nur interne DNS-Adressen verwendet. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 29. April 2013 Melden Teilen Geschrieben 29. April 2013 Moin, von .local rate ich nach wie vor ab. Ansonsten ist alles Nötige zum Thema DNS-Namensraum für AD ja in meinem oben verlinkten Artikel schon gesagt. (Naja, gut, zumindest alles, was ich selbst als nötig erachte.) Es gibt bei einer neu aufgebauten Struktur normalerweise überhaupt keinen Grund, dass interner und externer DNS-Namensraum gleich heißen. Dafür gibt es gleich mehrere Gründe dagegen. Gruß, Nils Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 29. April 2013 Melden Teilen Geschrieben 29. April 2013 Hallo Nils, magst Du mir verraten, was aus Deiner Sicht dagegen spricht? Kenne es um ehrlich zu sein überhaupt nicht anders... MfG Blase Moin, von .local rate ich nach wie vor ab. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 29. April 2013 Melden Teilen Geschrieben 29. April 2013 magst Du mir verraten, was aus Deiner Sicht dagegen spricht? Kenne es um ehrlich zu sein überhaupt nicht anders... Findest Du im Artikel von Nils: http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/ Welche Top Level Domain? Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 29. April 2013 Melden Teilen Geschrieben 29. April 2013 (bearbeitet) Meinst du mich bezüglich der TLD? Wir haben ne .com Adresse und intern .local - meine Frage war aber weniger auf uns konkret sondern allgemein gehalten. Weil ich z.B. auch ADs usw. für unsere Kunden aufsetze und i.d.R. nicht mal auf die Idee kommen würde, vom .local abzuweichen ;) Wenn ich den Artikel so durchlese - so richtig schlüssig ist sich der Autor (*lach* - habe jetzt erst geschnallt, dass das Nils selbst geschrieben hat) aber auch nicht so wirklich, welche internes suffix nun zu verwenden ist - oder wie lese ich das? Nur damit ich den technischen Hintergrund verstehe - .local oder auch .priv sind hier als problematisch gekennzeichnet, weil eben nicht ausgeschlsosen werden kann, dass diese zukünftig eben auch TLDs werden?! Und bei .zz ist das aber ausgeschossen? Warum? Weil laut ISO Norm als "privat" gekennzeichnet? Hmmm... habe ich noch nie gesehen... Aber gut, man lernt ja nie aus... Findest Du im Artikel von Nils: http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/Welche Top Level Domain? bearbeitet 29. April 2013 von Blase Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 29. April 2013 Melden Teilen Geschrieben 29. April 2013 Zum Thema .local hätte dann noch dieses RFC gefunden: http://tools.ietf.org/html/rfc6762 Die Frage ist nun aber: Wir wissen nun was wir nicht machen sollten. Was wäre denn der empfohlene Weg ? Ein "ausgedachter" interner Domain-Name in einer gültigen TLD könnte ja auch irgendwann registriert werden Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 29. April 2013 Melden Teilen Geschrieben 29. April 2013 Meinst du mich bezüglich der TLD? Ja, hatte ich doch korrekt zitiert, oder nicht? ;) Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 29. April 2013 Melden Teilen Geschrieben 29. April 2013 Moin, äh - ich verstehe die Rückfragen zu meinem Artikel nicht recht. Dort spreche ich doch eine ausgesprochen deutliche Empfehlung aus: Ich modifiziere also meine Empfehlung und empfehle nur noch Domains, die einem selbst gehören (Modell 1 und 2 der Tabelle). Die folgende Übersicht gebe ich daher nur noch aus historischen Gründen. Was alles passieren kann, wenn der interne Namensraum im Internet jemand anderem gehört, haben wir in diesem Board auch erst kürzlich gehabt: http://www.mcseboard.de/topic/192507-nslookup-hängt-immer-dns-suffix-an/#entry1192179 Gruß, Nils Moin, Ein "ausgedachter" interner Domain-Name in einer gültigen TLD könnte ja auch irgendwann registriert werden dann registrier ihn doch selbst ... kostet etwa 10 EUR pro Jahr und ist damit ein Quentchen günstiger als jedes Troubleshooting. Gruß, Nils Ja, viele Unternehmen machen das so. Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 29. April 2013 Melden Teilen Geschrieben 29. April 2013 Ok, dann habe ich jetzt scheinbar was nicht verstanden, bzw. den Faden verloren. In dem von mir ursprünglich zitiertem Teil geht es doch um die .local Endung - und genau davon hast du doch explizit abgeraten, oder?! Meine Frage bezog sich halt auf das warum bezüglich der Endung. Hier geht es nun um den internen Namensraum - das sind doch zwei paar Schuhe, oder stehe ich hier grade auf dem Schlauch... MfG Blase Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 29. April 2013 Melden Teilen Geschrieben 29. April 2013 Moin, In dem von mir ursprünglich zitiertem Teil geht es doch um die .local Endung - und genau davon hast du doch explizit abgeraten, oder?! ja. Meine Frage bezog sich halt auf das warum bezüglich der Endung. Steht in dem Artikel. Hier geht es nun um den internen Namensraum - das sind doch zwei paar Schuhe, oder stehe ich hier grade auf dem Schlauch... Nein, es geht die ganze Zeit um den internen Namensraum. Meine Empfehlung lautet einfach: Der interne Namensraum sollte einen "offiziellen" Namen verwenden, der dem Unternehmen gehört, der aber idealerweise nicht für externe Zwecke verwendet wird. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.