Domänen Name

[Wolters 0]

Hallo zusammen,

ich teste gerade in einer VM ein wenig mit Win Server und UCS / Kopano etc. herum und in diesem Zuge wollte ich mich auch mit Domain Names beschäftigen.

In der Vergangenheit las man oft Anleitungen, in denen der Name für die Domäne / Ad recht einfach name.local, name.corp etc. gewählt wurde.

 

Nun habe ich aber mal meine Windows Server Domain einfach meinedomain.de genannt und empfand dies als wirklich angenehm. In Kombination mit Groupware u. UCS musste ich eigentlich gar nichts mehr machen.

Die Clients, Benutzer, Mailadressen, alles passte.

 

Jetzt habe ich mich zu dem Thema noch ein wenig eingelesen und man liest wirklich sehr unterschiedliche Aussagen. 

Diese reichen von "eine nicht öffentlich Domain ist sicherer" über "ich hoffe du hast ne gute Firewall, wenn deine AD meinedomain.de heisst" bis hin zu "meinedomain.de geht nicht, du du muss eine subdaomain nehmen, wie ad.meinedomain.de"

 

Naja, jetzt bin ich zumindest total verwirrt. Könnt ihr mir etwas Klarheit schaffen?

 

Ich danke im Voraus für eure Zeit, viele Grüße

 

[Sunny61 809]

Diese Diskussion kommt gefühlt jede Woche auf, nur macht sich keiner die Mühe die alten Threads dazu zu suchen. Hier ein Artikel von Nils, der ist auch immer lesenswert: https://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

[Wolters 0]

Danke für deine Info.

Diesen Link habe ich jedoch schon gesehen und dort wird es recht rudimentär erläutert. Domäne nicht wie das Unternehmen nennen, weil man vielleicht umfirmiert. 

Bei der Wahl Server Domain = meinedomain.de, steht eigentlich nur "Zusätzliche Konfiguration nötig, um interne von externen Ressourcen zu trennen".

Naja irgendwie bringt mich das nicht wirklich weiter.

 

Ach und bemüht habe ich die Suche mehrmals und gäbe es jede Woche einen Thread dazu, würde man die sicher auch finden. Als Ergebniss kommen viele alten Themen, in denen z.B. noch .local empfohlen wird.

 

[Sunny61 809]

 

 

[NilsK 2.968]

Moin,

 

also ... in einem Blogartikel kann man natürlich nicht jedes Detail beleuchten und diskutieren, aber ich finde schon, dass mein Artikel alles enthält, was man zu dem Thema wissen muss. Ich gebe aber gern noch ein paar Ergänzungen.

 

Technisch und auch aus Sicherheitssicht spricht erst mal nichts dagegen, für das AD denselben DNS-Domänennamen zu verwenden wie für die externe Webseite. Dadurch wird keine interne Ressource "aus dem Internet" erreichbar - das ist kein Thema für eine Firewall. Die Probleme liegen dann eher innerhalb des eigenen Netzwerks: Da das AD sich für diese Domain zuständig sieht, wird es alle DNS-Anfragen dazu selbst beantworten: www.meinedomain.de kennt das AD entweder nicht (dann erreicht man von innen den eigenen Webserver nicht) oder man muss die IP-Adresse des externen Webservers selbst eintragen. Ebenso für alle weiteren Hostnamen, die "draußen" verwendet werden. Das meint mein Artikel mit "zusätzliche Konfiguration". Kann man machen, ist aber nicht schön.

 

Eine Subdomain umgeht dieses Problem, bleibt aber problematisch, wenn das Unternehmen mal den Namen wechselt. Und nein, das ist nicht exotisch. Ich betreue jedes Jahr mehrere Kunden, die sowas machen müssen. Die Kosten liegen typischerweise empfindlich im fünfstelligen, oft auch im sechsstelligen Bereich. Nur um den Namen zu ändern, ohne jede technische Verbesserung (die würde extra kosten). Lässt sich vermeiden, wenn man es gleich richtig macht.

 

Warum man keine Domain nehmen sollte, die einem nicht selbst gehört, zeigt dieser Artikel an einem Fallbeispiel:

https://www.faq-o-matic.net/2014/02/12/wenn-und-warum-nslookup-unerwartete-ergebnisse-zeigt/

 

In Kürze: Ich empfehle schon seit Jahren, nur noch mit abstrakten Namen zu arbeiten und sich einen Domänennamen zu suchen, der noch frei ist. Diesen registriert man, nutzt ihn aber im Web nicht - er ist also auch nicht identisch mit dem Webauftritt, sondern man registriert ihn nur für interne Zwecke. Das muss nicht mehr als zehn bis fünfzig Euro im Jahr kosten. Damit umgeht man alle genannten Probleme, weil man den Domänennamen selbst kontrolliert und weil der Name nicht vom Namen des Unternehmens abhängt.

 

Gruß, Nils

 

[daabm 1.366]

Dem ist kaum was hinzuzufügen Nach mehreren Fusionen und Umbenennungen landet unser interner Namensraum jetzt auch in einer DNS-Zone, die mit dem Firmennamen nichts zu tun hat. Für Großunternehmen ist ein Ändern des DNS-Namensraums eine mittlere Katastrophe...

[NilsK 2.968]

Moin,

 

nur um es noch mal zu betonen: Nicht nur für Großunternehmen. Schon bei einem Unternehmen mit gerade mal gut 1000 Usern ist die Schwelle zu "kostet sechsstellig" schnell überschritten. Das kann dazu beitragen, dass so ein Unternehmen ins Schlingern gerät. Gut, wenn man das nicht machen muss.

 

Gruß, Nils

... der durchaus mehrfach zu solchen Kunden fährt, um sie von sowas abzubringen. Meist erfolglos ... dann verdiene ich halt dran.

[NorbertFe 2.089]

;) wer sich für Dinge entscheidet, die das schlingern verursachen aber meist technisch sinnlos sind, hat’s auch nicht anders verdient.

/OT Ende 

[Wolters 0]

Danke für die erweiterte Ausführung. Ich vermute jedoch, dass es alles viel verständlicher ist, wenn man mal vor ner AD mit tausenden von Usern sitzt.

Bei den Umgebungen mit ner Handvoll Usern, wo eine Firma weder jemals den Namen ändert oder aufgekauft wird, ist das vielleicht gar nicht so kritisch.

Da wird in 10 Jahren, nicht mal ein Benutzer hinzugefügt :)

 

Ich meine, wenn ich nun die AD firma.de nenne, passiert ja auch nichts. Intern kommt man halt nicht mehr auf die Firmenseite, aber auch das ist mit einem DNS Eintrag wieder gefixt. 

[NilsK 2.968]

Moin,

 

bei Umgebungen mit einer "Handvoll" Objekten wäre ja auch eine Migration kein großer Akt. Bei mehreren Händen sieht das aber schnell anders aus. Und zufällig hast du exakt die Argumente genannt, die alle Kunden an dieser Stelle bringen ... 

 

Gruß, Nils