Verständnisfrage zum AD Domain Name, Exchange Zertifikat und DNS

[numx 10]

Hallo,

 

ich habe vor eine Server 2012 R2 Domäne inkl. Exchnage 2013 aufzubauen und stehe gerade vor der Wahl des AD Domain Namen. Meine erste Entscheidung nachdem ich mich etwas im Internet dazu eingelsen habe fällt auf den schon jetz benutzen Domainnamen für die Webseite der Firma also firma.de

Warum habe ich mich dafür entschieden? Als Vorteil sehe ich das ich im Nachhinein die internen URLs der Exchnage Dienste nich auf die externe URL umstellen da muss da diese ja schon gleich sind. Da das Unternehmen nur zwei externe Applikationen (Cloudapp) mit dem Domainnamen app01.firma.de und app02.firma.de nutzt würde ich diese beiden Dienste via Split DNS auf den externen Server lenken damit die Mitarbeiter mit den extern gehosteten Applikationen arbeiten können. Das gleich gilt dann auch für die Firmen Webseite.

Jetzt habe ich auch im Netz gelesen das einige auch die Domain ad.firma.de nutzen. Somit können sie auch ein Zertifikat bei einer öffentlichen CA erstellen lassen weil keines für Domainamen die wie firma.local oder firma.intern klingen benötigt wird bzw. diese ja auch für eine öffentliche CA nicht gültig sind. Bei diesem Vorgehen brauche ich natürlich kein Split DNS muss aber die URLs der internen virtuellen Verzeichnisse für die Exchange Dienste umstellen. 

Wenn man es nüchtern betrachtet ist der Arbeitsaufwand bei einem kleinem Unternehmen mit wenig externen Anwendungen bei beiden beschriebenen Szenarien ziemlich identisch. Ich würde aber lieber gerne den Namen firma.de wählen. Jetzt würde ich gerne einmal eure Meinung mit allen Vor- und Nachteilen die ich evtl. noch nicht genannt habe zu diesen beiden Szenarien also fimra.de oder ad.firma,de von euch Wissen.

 

 

 

 

 

 

 

 

[NorbertFe 2.167]

Du wählst den ad Namen aufgrund der internal external URL konfig von Exchange? Schlechte Wahl, würde ich jetzt aus dem Bauch heraus sagen. ;) die konfig würdest du Afair sowieso anpassen müssen, weil externalurl eben für Zugriffe von extern oder non Domain joined Clients benötigt werden.

[Nobbyaushb 1.508]

Ich richte bei greenfield-installationen immer standort.domain.tld ein, so wie MS und viele andere das auch machen.

 

;)

[NorbertFe 2.167]

Nils hat auf FAQ-o-magic.net einen Artikel zum Thema. Darin sind alle wichtigen pro und contra Argumente drin. Exchange gehört, wie oben schon gesagt, nicht dazu.

[numx 10]

@NorbertFe, wieso ad.firma.de? In meinem Text steht doch ziemlich weit oben das ich firma.de bevorzuge.

Ist meine Wahl mit firma.de in dem oben erklärten Szenario aus eurer Sicht ok?

[NorbertFe 2.167]

Deine Begründung ist einfach Gaga, wenn die Exchange URLs deine einzige Sorge sind. Für alle pro und contra hast du offensichtlich ja den Artikel gefunden, oder?

[numx 10]

@NorbertFe

 

ja habe gerade mal die Artikel gelesen. So wie ich das sehe sollte es mit firma.de keine Probleme geben. Im Grunde genommen ist es egal ob man ad.firma.de oder firma.de nimmt man muss bei beiden Szenarien etwas anpassen was. Wichtig war mir nur zu hören ob es bei der Variante firma.de zu irgendwelchen Nachteilen kommen kann wenn man nicht gerade das Split DNS vergisst sollte man extern auch mit der Domain firma.de arbeiten. In dem einen Artikel wurde auch ad.firma.de und firma.de als Namen empfohlen.

[NorbertFe 2.167]

Firma.de macht dann Probleme/mehr Aufwand, wenn man ne VPN Lösung wie direct Access hat, und jeden Host der extern erreichbar sein muß, erst konfigurieren muß. Weiß grad nicht, ob das im Artikel steht.

[numx 10]

wie meinst du das mit VPN Direct Access? Wenn sich ein Client von außen in die Firma einwählt dann bekommt er doch den DNS vom internen Firmennetzwerk und sein Internetgateway darf zu Hause nicht angesprochen werden. Wo meinst du gibt es da Probleme und was sollte man am Client anpassen müssen?

[NorbertFe 2.167]

Bei Split-Tunneling mußt du jeden Host definieren, der NICHT durch den Tunnel angesprochen werden soll/darf. Das ist dann ggf. recht aufwändig.

[numx 10]

@NorbertFe

 

das ist richtig und gut das du da erwähnt hast weil viele neben dem VPN Tunnel auch noch das "normale" Internet auf den Geräten erlauben und das würde dann zu Problemen kommen. Ich denke allein aus diesem Szenario heraus würde ich dann doch lieber auf ad.firma.de wechhseln weil bei einem Kunden der den parallelen Interntzugriff auf dem VPN Client erlaubt dann keine Probleme auftreten.

[NorbertFe 2.167]

Nein das hat nicht nur mit "erlauben" zu tun. Es gibt einfach Dienste, deren Nutzung über VPN wie DA nicht funktioniert oder nicht supported ist. Da hilft dir dann vielleicht Force Tunneling mit der Namensauflösung, aber es hilft dir nichts, wenn dein Dienst damit nicht funktioniert oder nicht stabil läuft.

[numx 10]

ich kenne mich mit DA nicht so aus aber gebe dir natürlich recht das das nicht immer was mit erlauben zu tun hat sondern auch mit technischen Gegenenheiten. Ich werde dann wohl ad.firma.de nutzen um dieses Szenario auch zu umgehen.