AD Domänen-Name best practice

[kdhk 0]

Hallo zusammen,

 

wir wollen eine neue Domäne unter Windows Server 2012 R2 aufsetzen, in welcher ein Exchange als MX Server betrieben werden soll. Jetzt stellt sich für uns die Frage nach dem AD Domänen Namen. Aufgrund dessen, dass wir für .local oder ähnliche Domänen keine öffentlichen Zertifikate mehr erhalten, bleibt nur interner Domänenname = externer Domänenname oder alternativ subdomain.Domänenname. Wie ist hier aktuell die gängige best practice bei euch? interner = externer hat zur folge das man die externen Webserver im lokalen DNS aktuell halten muss und das es wohl Probleme mit Branch Cache gibt, soweit ich das in älteren Threads lesen konnte. Sind beide Lösungen generell denkbar oder würdert ihr mir generell von einer der beiden abraten? Momentan tendiere ich eher zu ad.domänenname.de als AD Domäne, weil ich nicht wirklich einschätzen kann welche Probleme bei einem doppelten Namen später noch auftreten können.

 

Vielen Dank für Eure Kommentare!

bearbeitet 15. Juli 2015 von kdhk

[testperson 1.859]

Hi,

 

schau dir dazu mal folgenden Artikel an: https://www.faq-o-matic.net/2007/06/08/welcher-name-ist-der-beste-fuer-eine-ad-domaene/

 

Gruß

Jan

[Nobbyaushb 1.581]

Moin,

Greenfield ist eine tolle Sache, ausser im Lab lange nicht gemacht.

 

Wir hören auf unseren Schulungen seit Jahren, was du im Prinzip geschrieben hast.

 

Empfehlung lautet hier auf Standort, also z.B. Bremen.domain.com

Ist unter anderem bei externen Zertifikaten vieles leichter.

 

Aber auch wenn du das Klassisch mit .local oder .dom (oder wie auch immer) einrichtest, sind Probleme eher nicht zu erwarten, ggf. ein bisschen mehr Arbeit.

 

;)

[Dukel 468]

Es muss nicht zwingend ein öffentlicher Name sein. Mit Split-DNS kannst du intern einen "internen" DNS Namen vergeben.

[NorbertFe 2.283]

Wer nutzt denn tatsächlich Branch-Cache? Das wäre einer der letzten Gründe, warum ich im Zweifel darauf verzichten würde.

[NilsK 3.046]

Moin,

 

öffentliche Zertifikate sind kein Grund für oder gegen einen Domänennamen. Die Mail-Domain braucht mit dem AD-Domänennamen nichts zu tun zu haben. Intern nutzt man für Exchange i.d.R. ohnehin Selfsigned oder interne Zertifikate, oder man baut eben den Namensraum passend.

 

Alles Weitere siehe in meinem oben verlinkten Artikel.

 

Gruß, Nils

[magheinz 111]

Nimm intern.DEINEDOMAIN.TLD und als kurznamen DEINEDOMAIN.

das ist auf jedenfall sicher und garantiert einmalig+eindeutig.

.local ist ausserdem reserviert für per multicast auflösbare namen.

ms nutzt in den kb-dokumenten immer mal wieder .local und schreibt dann weiter unten im text das sie die registrierung einer domaine empfehlen(kbs 300684, 726016) in letzterem raten sie eindeutig von nicht registrierten domains ab.

[kdhk 0]

Vielen Dank für Eure Kommentare! Ich habe mich aufgrund einer sauberen Trennung für eine AD Domäne â la ad.contoso.com entschieden. Das heisst ich müsste als Gesamtstrukturdomäne ad.contoso.com angeben und als Netbios Namen der Domäne dann nur contoso ist das korrekt?

[magheinz 111]

Soweit ich weiss, ja.

wir machen das genauso...

[NorbertFe 2.283]

Kannst Netbios auch "Beate" nennen, das ist doch wurst, solange es eindeutig und innerhalb der erlaubten Syntaxregeln liegt.

[daabm 1.431]

heisst ich müsste als Gesamtstrukturdomäne ad.contoso.com angeben und als Netbios Namen der Domäne dann nur contoso ist das korrekt?

Wie Norbert schon schrub - ist wurst... Aus historischen Gründen wäre der NB-Name in dem Fall aber "ad" - der erste Teil des DNS-Namens. Und nicht einer "mittendrin". Was machst Du sonst, wenn Du mal ad2.contoso.com brauchst?

[Doso 77]

Wir nutzen interner Domänenname = externer Domänenname. Klar muss man dann Webserver an 2 DNS Servern pflegen, aber das passiert halt vielleicht 4x im Jahr, hält sich also in Grenzen. Ich bin auch für NetBios Name "Beate"!

[magheinz 111]

Dann wird das halt contoso2.

[NorbertFe 2.283]

Ich bin auch für NetBios Name "Beate"!

Hab ich übrigens schon gesehen beim Kunden. ;)

[NilsK 3.046]

Moin,

 

in der ersten Firma, wo ich gearbeitet habe, hießen die Server nach den Schwestern der Angestellten. Die ganzen Jungspunde haben sich dann immer unglaublich gefreut, wenn sie ankündigen konnten: "Ich muss noch mal auf Nicola rauf ..."

 

Gruß, Nils