Jump to content

Auf der grünen Wiese alles neu


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich plane gerade die komplette Neu-Erstellung unserer AD-Struktur auf der grünen Wiese auf Basis von Windows Server 2012. Sprich keine Migration sondern wirklich alles neu erstellen.

Hintergrund: vor einigen Jahren haben wir umfirmiert und tragen immer noch den alten Firmennamen in der Domäne.

Da wir unsere eigenen öffentlichen DNS-Server betreiben ist der alte Firmenname immernoch sichtbar, auch bei der Anmeldung an der Domäne sowie im DFS. Zudem ist die Gesamtstruktur so verwurschtelt und von NT4.0 über die Jahre hochmigriert, dass es sicherlich gut tut, das mal ordentlich dokumentiert neu zu machen. Diese Entscheidung ist getroffen und steht hier nicht zur Diskussion. Zumal MS selbst bescheinigt hat, dass es nicht möglich ist unsere Struktur "umzubenennen" oder zu migrieren. Ergo: Alles neu macht hoffentlich der Mai.

 

Meine Frage: Unsere Internet-Domain ist firmenname.com so soll auch die neue Gesamtstruktur heißen. Also nicht firmenname.local. Das interne Netz ist ein maskiertes Class-B Netz (172.16.x.y), unsere öffentlichen IPs sind ein halbes und ein viertel Class-A Netz. (für DMZ etc...)

 

Bisher haben unsere DNS-Server eben externe IP-Adressen und diese sind auch in den Rechnern als DNS-Serveradresse eingetragen. Ist das sinnvoll? Wäre es nicht sinnvoller einen internen und zwei externe DNS-Server zu haben? Also quasi einen hidden primary im internen Class-B-Netz und eben die beiden öffentlichen? Und wenn ja, wie mach ich das mit Windows-Bordmitteln?

 

herzlichen Dank schon mal für die Unterstützung.

 

mit freundlichen Grüßen,

 

Markus

Link to comment

Moin,

 

das AD sollte immer einen rein internen Namensraum haben. Interne Namen und Adressen haben im öffentlichen DNS nichts zu suchen.

 

Macht also zwei "getrennte" DNS-Systeme, eins nur mit den externen Adressen (Webserver, MX und so), von außen zugänglich, und eins nur mit den internen Adressen, nur intern zugänglich.

 

[Welcher Name ist der beste für eine AD-Domäne? | faq-o-matic.net]
http://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

 

[Welches Domänenmodell ist das Beste für Active Directory? | faq-o-matic.net]
http://www.faq-o-matic.net/2007/06/09/welches-domaenenmodell-ist-das-beste-fuer-active-directory/

 

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Die Fragen klingen nach einer größeren Struktur - ich hoffe für euch, dass ihr jemanden habt, der euch bei einem solchen Migrationsvorhaben kompetent unterstützt. Kriegt man alles hin, ist aber nicht ohne.

 

Gruß, Nils

Link to comment

die Idee mit dem rein internen Namensraum finde ich gut udn wichtig, dennoch müssen die beiden DNS-Zonen gleich heißen - also firmenname.com. auf dem inneren DNS-Server werden dann alle internen Eintäge gehostet und eine Weiterleitung an den externen DNS oder an die resolver der DTAG eingerichtet?

 

Ja, ist tatsächlich eine größere Struktur, inkl. Telefonie per OCS (wird in diesem Zuge gleich nach Lync migriert), Exchange 2007 (wird auch gleich nach 2013 migriert). Ein ISA2006 ReverseProxy ist dabei, BizTalk-Server, diverse SQL-Server - die ganze Bandbreite halt... Als Goldpartner bekommen wir hier zum Glück direkt Support von MS

 

 

Gruß

Markus

Link to comment

Mir wäre es aber neu, das MS direkt die Migration durchführt?

 

Wenn Ihr den Gold Status habt, dann sollte sich bei euch doch jemand mit DNS/AD auskennen?

Das was du im DNS vorhast ist doch gang und gebe.

Interne AD Server die auch DNS sind (natürlich auch bei den Clients eingetragen) und von da DNS Weiterleitungen ins Internet (wir nehmen meistens 8.8.8.8 von Google und noch einen vom Provider als Secondary).

Link to comment

Da gibts keinen Migrationsweg, da das Thema Domain-Rename u.A. am Exchange und an den SQL-Servern scheitert...

Direkten Hands-On-SUpport von MS bekommen wir natürlich nicht. Das ist klar. Tun müssen wir's selber

 

Wenn Ihr den Gold Status habt, dann sollte sich bei euch doch jemand mit DNS/AD auskennen?

...gibt ja auch noch andere Kompetenzen wie ISV oder ähnliches...

Link to comment

Ich verstehe immer noch nicht, warum Ihr Eure interne AD-Domäne nicht Firma.local nennen könnt. Wenn der externe DNS alle .com-Einträge und das restliche Internet auflöst, sollte das kein Problem sein. Am internen DNS einfach alle unbekannten Adressen an den externen DNS weiterleiten. An den AD-Membern und DC's werden nur interne DNS-Adressen verwendet.

Link to comment

Moin,

 

von .local rate ich nach wie vor ab. Ansonsten ist alles Nötige zum Thema DNS-Namensraum für AD ja in meinem oben verlinkten Artikel schon gesagt. (Naja, gut, zumindest alles, was ich selbst als nötig erachte.)

 

Es gibt bei einer neu aufgebauten Struktur normalerweise überhaupt keinen Grund, dass interner und externer DNS-Namensraum gleich heißen. Dafür gibt es gleich mehrere Gründe dagegen.

 

Gruß, Nils

Link to comment

Meinst du mich bezüglich der TLD? Wir haben ne .com Adresse und intern .local - meine Frage war aber weniger auf uns konkret sondern allgemein gehalten. Weil ich z.B. auch ADs usw. für unsere Kunden aufsetze und i.d.R. nicht mal auf die Idee kommen würde, vom .local abzuweichen ;)

 

Wenn ich den Artikel so durchlese - so richtig schlüssig ist sich der Autor (*lach* - habe jetzt erst geschnallt, dass das Nils selbst geschrieben hat) aber auch nicht so wirklich, welche internes suffix nun zu verwenden ist - oder wie lese ich das?

 

Nur damit ich den technischen Hintergrund verstehe - .local oder auch .priv sind hier als problematisch gekennzeichnet, weil eben nicht ausgeschlsosen werden kann, dass diese zukünftig eben auch TLDs werden?!

 

Und bei .zz ist das aber ausgeschossen? Warum? Weil laut ISO Norm als "privat" gekennzeichnet? Hmmm... habe ich noch nie gesehen... Aber gut, man lernt ja nie aus...

 

Edited by Blase
Link to comment

Moin,

 

äh - ich verstehe die Rückfragen zu meinem Artikel nicht recht. Dort spreche ich doch eine ausgesprochen deutliche Empfehlung aus:

 

Ich modifiziere also meine Empfehlung und empfehle nur noch Domains, die einem selbst gehören (Modell 1 und 2 der Tabelle). Die folgende Übersicht gebe ich daher nur noch aus historischen Gründen.

 

Was alles passieren kann, wenn der interne Namensraum im Internet jemand anderem gehört, haben wir in diesem Board auch erst kürzlich gehabt:

 

http://www.mcseboard.de/topic/192507-nslookup-hängt-immer-dns-suffix-an/#entry1192179

 

Gruß, Nils



Moin,

 

Ein "ausgedachter" interner Domain-Name in einer  gültigen TLD könnte ja auch irgendwann registriert werden

 

dann registrier ihn doch selbst ... kostet etwa 10 EUR pro Jahr und ist damit ein Quentchen günstiger als jedes Troubleshooting.

 

Gruß, Nils

Ja, viele Unternehmen machen das so.

Link to comment

Ok, dann habe ich jetzt scheinbar was nicht verstanden, bzw. den Faden verloren.

 

In dem von mir ursprünglich zitiertem Teil geht es doch um die .local Endung - und genau davon hast du doch explizit abgeraten, oder?!

 

Meine Frage bezog sich halt auf das warum bezüglich der Endung.

 

Hier geht es nun um den internen Namensraum - das sind doch zwei paar Schuhe, oder stehe ich hier grade auf dem Schlauch...

 

MfG Blase

Link to comment

Moin,

 

In dem von mir ursprünglich zitiertem Teil geht es doch um die .local Endung - und genau davon hast du doch explizit abgeraten, oder?!

 

ja.

 

Meine Frage bezog sich halt auf das warum bezüglich der Endung.

 

Steht in dem Artikel.

 

Hier geht es nun um den internen Namensraum - das sind doch zwei paar Schuhe, oder stehe ich hier grade auf dem Schlauch...

 

Nein, es geht die ganze Zeit um den internen Namensraum. Meine Empfehlung lautet einfach: Der interne Namensraum sollte einen "offiziellen" Namen verwenden, der dem Unternehmen gehört, der aber idealerweise nicht für externe Zwecke verwendet wird.

 

Gruß, Nils

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...