Zum Inhalt wechseln


Foto

Split DNS - wie ist es denn nun richtig?


  • Bitte melde dich an um zu Antworten
18 Antworten in diesem Thema

#1 Assassin

Assassin

    Newbie

  • 236 Beiträge

 

Geschrieben 18. Mai 2016 - 06:22

Servus,

 

Vieleicht kann mir hier ja jemand helfen, bzw. eine Antwort geben, da ich zum Thema Split-DNS unterschiedliche Themen finden was die Einstellungen angehen.

Nehmen wir als Beispiel einen Server 2008R2 mit dem DNS. SplitDNS sollte halt für einen Exchange Server 2013 eingerichtet werden, wo mehrere Outlook 2016 Clients dran hängen.

 

 

es gibt da z.B. Variante1: https://www.psw-grou...s-anleitung.pdf

es wird nur eine neue Zone erstellt für mail.meinedomäne.de, der Autodiscover eintrag wird hier aber in der Lokalen domäne mit eingetragen unter _tcp

 

variante2: http://www.msexchang...over-part2.html

es wird eine neue Zone erstellt für meinedomäne.de, darin werden A-Records gemacht für mail und autodiscover

 

variante3: http://colleago.com/...l-certificate/#!

das selbe wie bei varainte 2, nur das statt A-Records gleich CNAME einträge gemacht werden

 

Variante4: es werden zwei zonen erstellt, jeweils für mail.meinedomäne.de und autodiscover.meinedomäne.de. darin ist jeweils die interne IP des Servers angegben (übergeordnete domäne)

 

und variante5: es wird eine zone erstellt für mail.meinedomäne.de, darin wird ein SRV eintrag für _autodiscover für den dienst _tcp eingerichtet, der auf mail.meinedomäne.de zeigt

 

 

 

Das sind die dinge, die ich so mitlerweile kennen gelernt habe...aber welcher dafon ist den nun der korrekte weg? ich denke mal variante 4, oder?

 

 

 



#2 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.737 Beiträge

 

Geschrieben 18. Mai 2016 - 06:28

Moin,

 

Variante 1 nehme ich nicht, 2 und 3 unterscheiden sich nur durch den Typ, Effekt für die User ist der gleiche, allerdings musst du dann auch www. usw pflegen, wenn ihr weitere sub-Domains haben solltet, müssten die auch alle rein, deshalb nimmt man mittlerweile Variante 4 mit jeweils einer eigenen Zone für mail und autodiscover.

 

Also ich nehme mittlerweile immer 4.

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#3 NorbertFe

NorbertFe

    Expert Member

  • 30.838 Beiträge

 

Geschrieben 18. Mai 2016 - 06:41

Kann ich nur zustimmen. Ausnahme, der Kunde hat bereits Split-DNS im Einsatz, dann gibt es ja die notwendigen Zonen bereits. C-names sind keine gute Idee, weil dort afair zumindest einmal eine Warnung im Outlook aufpoppt.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#4 Dunkelmann

Dunkelmann

    Expert Member

  • 1.862 Beiträge

 

Geschrieben 18. Mai 2016 - 07:07

Moin,

 

es hängt vom Gesamtbild ab.

Ich bevorzuge Variante 2 (Zone mit A-/Service-Records); ist aber mit etwas mehr Aufwand verbunden.

 

CNames und Zonen als Ersatz für A-Records verwende ich selten. Wir haben Anwendungen, die bei der Namesauflösung explizit A- oder AAAA Records anfordern und die laufen bei CNames/Zonen gegen die Wand.


Keep It Small - Keep It Simple


#5 DocData

DocData

    Board Veteran

  • 1.295 Beiträge

 

Geschrieben 18. Mai 2016 - 09:50

Ich nutzen fast ausnahmslos Variante 2. Bei kleinen Umgebungen sind es eine handvoll Einträge. Bei großen Umgebungen ist Split DNS fast immer vorhanden.

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#6 Assassin

Assassin

    Newbie

  • 236 Beiträge

 

Geschrieben 18. Mai 2016 - 11:10

und das funktioniert reibunslos mit Outlook 2013/2016?

 

Bei einem Kunden haben wir z.B. SBS2011 im einsatz, allerdings mit dem Pop3 Connector (vorerst bis der Kunde eine Statische IP Adresse hat)

Split DNS eingerichtet wie in Variante4. Eigenes Exchange Zertifikat entsprechend erstellt. Beim Ersten Start finden die Outlook 2016 clients auch alle einstellungen brav, gibt auch keine Lizenzwarung oder dergleichen. Abruf geht, auch abwesenheitsassistent. Aber irgendwann mittem beim Arbeiten kommt auf einmal ein Zertifikatsfehler wo der untere Punkt nicht erfüllt wird (Name auf dem Sicherheitszertifikat ungültig). Oben steht "autodiscover.meinedomäne.de" also die externe Domäne. Diese ist doch eigentlich über das SplitDNS nach intern umgeleitet auf den Exchange...darum wundert es mich, warum irgendwann nach einigen Minuten im Outlook im lokalen Netzwerk auf einmal die meldung kommt.

Was auch nicht geht im Outlook: Senden als z.B. Info (also ein anderer Benutzer). Das geht nur am anfang wenn ich den benutzer über das "von" feld auswähle. Auch ein paar minuten nachher geht es noch nachdem das Outlook profil neu eingerichtet wurde. Aber nach ein paar minuten geht dies nicht mehr durch die vorauswahl in dem "von" feld, ich müsste den eintrag erst wieder rauslöschen, und anschließend den Benutzer wieder neu auswählen.

Mache ich den cache modus vom outlook aus, geht es immer.

 

 

Verstehe ich absolut nicht warum es das so macht, dabei sind die profile und auch die autocompletecache dateien gelöscht...und trotzdem geht es nur für ein paar minuten



#7 NorbertFe

NorbertFe

    Expert Member

  • 30.838 Beiträge

 

Geschrieben 18. Mai 2016 - 11:15

Welche Namen stehen im Zertifikat und welche Zonen hast du wie intern angelegt? Zusätzliche Fehlerquelle ist ein Proxy Server am Client.

Bearbeitet von NorbertFe, 18. Mai 2016 - 11:16.

Make something i***-proof and they will build a better i***.


#8 Assassin

Assassin

    Newbie

  • 236 Beiträge

 

Geschrieben 18. Mai 2016 - 12:05

ersteinmal nur die wichtigsten:"mail.meinedomäne.de", "meinedomäne.de", "SRV01.meinedomäne.local",und "autodiscover.meinedomäne.de"...ich glaube es könnte damit zusammen hängen das ich "meinedomäne.local" vergessen habe, oder? -.-

 

 

als Zonen habe ich:

autodiscover.meinedomäne.de

mail.meinedomäne.de (activesync,...)

in den jeweiligen zonen einen A Record eintrag gemacht mit der internen Server ip (192.168.1.250), namen freigelassen sodass der übergeordnete name verwendet wird



#9 NorbertFe

NorbertFe

    Expert Member

  • 30.838 Beiträge

 

Geschrieben 18. Mai 2016 - 12:07

Du benötigst genau zwei Namen... Autodiscover.deinedomain.tld und mail.deindomain.tld (wobei das genau die Namen oder Zonen sind, die du natürlich im Split-DNS konfiguriert hast). KEIN weiterer Namen wird im Zertifikat benötigt. Und schonmal gar keine internen Host oder Domain-Names.

Make something i***-proof and they will build a better i***.


#10 Assassin

Assassin

    Newbie

  • 236 Beiträge

 

Geschrieben 18. Mai 2016 - 14:45

Die Internen namen standen aber sogar ab werk im installierten Exchange Zertifikat mit drin beim SBS O_O

auch wenn ich diesen Assistenten von der SBS konsole nutze und er mir nen neues Zertifikat baut, steht auch der Server selber mit seinem interen FQDN mit drin *kopfkratz*

 

oder macht der SBS das weil er dieses zertifikat als "Hauptzertifikat" nimmt für die default website im IIS, damit es im Intranet wenn man auf diese Companyweb-Site zugreift es nicht auch noch zu einem Zertifikatfehler kommt?

 

 

Aber stört es denn wenn da mehrere Namen zusätzlich mit drin stehen?

 

Und dann noch eine frage - beim erstellen eines neuen Exchange-Zertifikats kann man ja auch ein Wildcard Zertifikat erstellen wenn ich das richtig mitbekommen habe, also z.B. "*.meinedomäne.de"

aber dem traue ich nicht so recht...oder geht das genauso?

 

 

 

*edit*

Achso, wegen diesem Zertifikatsfehler der irgendwann mal erscheint...wenn man sich dieses Zertifikat anschaut, ist dies eins vom externen Domänenanbieter, wo die E-Mails liegen O_O

also das Outlook versucht sozusagen ständig irgendwelche adressen über Autodiscover rauszufinden, und greift irgendwie doch noch nach extern, und kommt so an das nicht uns gehörende Zertifikat, sondern an das unseres E-Mail Anbieters, bzw. des WebDomain hosters... aber warum macht Outlook das?

nslookup auf autodiscover.meinefirma.de auf den Clients führt auf die IP des lokalen Servers hier im LAN...echt unbegreiflich sowas...ich will das alte Outlook 2010 wieder haben :(


Bearbeitet von Assassin, 18. Mai 2016 - 14:48.


#11 NorbertFe

NorbertFe

    Expert Member

  • 30.838 Beiträge

 

Geschrieben 18. Mai 2016 - 14:58

Erstens schriebst du bis eben nichts vom SBS sondern von Exchange 2013 und zweitens ... mir doch egal. Trotzdem braucht man nur 2 Namen. ;)

Make something i***-proof and they will build a better i***.


#12 DocData

DocData

    Board Veteran

  • 1.295 Beiträge

 

Geschrieben 18. Mai 2016 - 15:12

Interne Namen werden auch seit geraumer Zeit von keiner CA mehr akzeptiert.

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#13 NorbertFe

NorbertFe

    Expert Member

  • 30.838 Beiträge

 

Geschrieben 18. Mai 2016 - 15:13

Naja von internen schon. ;)

Make something i***-proof and they will build a better i***.


#14 DocData

DocData

    Board Veteran

  • 1.295 Beiträge

 

Geschrieben 18. Mai 2016 - 17:02

Sowas will doch keiner...

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#15 NorbertFe

NorbertFe

    Expert Member

  • 30.838 Beiträge

 

Geschrieben 18. Mai 2016 - 17:17

Naja intern störts ja nicht unbedingt ;)

Make something i***-proof and they will build a better i***.