Jump to content
guybrush

Das leidige Thema DNS-Domänenname

Recommended Posts

Servus Kollegen,

 

nachdem ich jetzt viele Jahre lang kein AD mehr anlegen musste, trifft es mir nun in Bälde wieder. Eine komplett neue Domäne mit Server 2016, die Clients derzeit noch Windows 7, werden dann aber entweder auf Windows 10 oder Terminal Server portiert. Es gibt nur einen Standort, es wird nicht expandiert, keine zusätzlichen Niederlassungen usw...

Früher haben wir ja immer .local oder .int angelegt, mittlerweile wird davon ja abgeraten, u.a. weil öffentliche Zertifizierungsstellen keine Zertifikate mehr ausstellen für unroutebare Domains, und es dann nat. Probleme gibt mit Exchange, usw...

Derzeit läuft ein Linux IMAP Server, und das wird auch Mittel- bis langfristig so bleiben. Exchange kann ich mir derzeit nicht vorstellen, da es hier auch wirklich gewünscht ist, Mail und Windowsuser getrennt zu halten. Sonst ist das Netz nicht sehr aufregend. 1-2 SQL und sonst nicht, was erwähnenswert wäre. Die Benutzer sind durchnummeriert, ein namentliches anlegen ist hier auch nicht gewünscht. D.h. so Eleganzen wie ein der E-Mailadresse gleichgestellter UPN zum Anmelden ist hier auch nicht gewünscht.

 

Was meint ihr, wie geht man hier am Besten vor? Soll ich einfach den Namen der externen DNS-Domäne verwenden und wie gewohnt mit Split-DNS arbeiten? Oder doch besser eine .local und fertig? Was gibt es noch zu Beachten, bzw. welche Erfahrungen habt ihr da gemacht?

 

LG und Danke

Johannes

 

 

 

Share this post


Link to post
Share on other sites

Hallo Johannes,

 

also wir haben den Externen Namen und davor das AD gesetzt. Also AD.meinedomain.xyz . So würde ich es aktuell auch wieder machen. Die .local ist nicht mehr zu empfehlen und würde ich auch aus anderen Gründen (Linux hatte damit mal Probleme usw.) lassen.

Grüße

Share this post


Link to post
Share on other sites
vor 11 Stunden schrieb guybrush:

und es dann nat. Probleme gibt mit Exchange

natürlich gibts in keinem Fall Probleme mit Exchange, denn den konfiguriert man ja per Split-DNS. :)

Share this post


Link to post
Share on other sites

Best Practice laut MS ist inzwischen eine Subdomain der eigenen Internet-Domäne zu verwenden. Damit hat man alle Möglichkeiten...

Share this post


Link to post
Share on other sites
vor 9 Minuten schrieb daabm:

Best Practice laut MS ist inzwischen eine Subdomain der eigenen Internet-Domäne zu verwenden. Damit hat man alle Möglichkeiten...

Genau - z.B. Bremen.mcseboard.de :thumb1:

Share this post


Link to post
Share on other sites

Danke schonmal für euer Feedback. Gibt es relevante Nachteile, wenn man die Internet-Domäne ohne Subdomain verwendet? Mir fällt auf die Schnelle nur zwingendes Split-DNS ein,

damit alle Einträge von Domain.tld auch intern sauber aufgelöst werden. In meinem konkreten Fall sind das genau 8 DNS-Einträge, die sich auch
nie ändern - der Aufwand ist also überschaubar.

Edited by guybrush

Share this post


Link to post
Share on other sites

Bei direct access Verwendung musst du zusätzlich darauf achten, dass es Dienste gibt, die nicht durch den Tunnel gehen sollen/dürfen. Man muss dann dann diese wieder explizit angeben.

Share this post


Link to post
Share on other sites

Moin,

 

das ist eine Sache der Abwägung. Ich würde mittlerweile nie mehr den Namen des AD an den Namen des Unternehmens anlehnen. Dafür habe ich zu viele Kunden, die nach einer Umfirmierung ihr AD migrieren müssen, nur um den Namen zu ändern.

 

Gruß, Nils

 

Edited by NilsK

Share this post


Link to post
Share on other sites
vor 7 Minuten schrieb NorbertFe:

Müssen ist aber auch immer ansichtssache. Aber als Dienstleister macht man das auch wenn man gezwungen wird. ;)

und bezahlt... :grins2:

Share this post


Link to post
Share on other sites

Moin,

vor 12 Minuten schrieb NorbertFe:

Müssen ist aber auch immer ansichtssache. Aber als Dienstleister macht man das auch wenn man gezwungen wird. ;)

 

absolut. Wenn es aber um einen neuen Domänennamen geht  wie hier, ist es aus meiner Sicht sehr schlau, dieses "Müssen" einfach durch einen abstrakten Domänennamen von vornherein auszuschließen.

 

Lustigerweise neigen die genannten Kunden dazu, meiner Argumentation zuzustimmen, dass das Wechseln des Firmennamens für das AD völlig unangemessener Aufwand ist. Dann machen sie es doch und nehmen als neuen AD-Namen den neuen Firmennamen ...

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Direct Access ist bei uns kein Thema. Remotezugriff gibt es nicht (abgesehen vom Chef und mir, und da läufts über den VPN-Client der Firewall).

 

@Nils: Dein Punkt von Nils ist interessant, daran hätte ich gar nicht gedacht. Soweit ich das abwägen kann, kann ich die Variante "Firmenverkauf" bzw.
"Umfirmieren" bei dem Unternehmen ausschließen, Zumindest für die nächsten 15 Jahre, bis der Chef und Gründer in Pension geht :)

Was mich interessieren würde: wie schaut dann so ein abstrakter Domänenname aus? Kannst du mir ein Beispiel nennen, ohne einen Kunden
preiszugeben?

 

Gibt es sonst noch technische Einschränkungen, wenn man sich gegen eine Subdomain entscheidet?

 

LG und Danke

Johannes

Share this post


Link to post
Share on other sites

Moin,

vor 3 Stunden schrieb guybrush:

Soweit ich das abwägen kann, kann ich die Variante "Firmenverkauf" bzw. "Umfirmieren" bei dem Unternehmen ausschließen, Zumindest für die nächsten 15 Jahre, bis der Chef und Gründer in Pension geht :)

 

ja, das haben die betreffenden Kunden auch gedacht. Kostet dann halt empfindlich fünfstellig, so ein Irrtum.

 

Zitat

Was mich interessieren würde: wie schaut dann so ein abstrakter Domänenname aus?

 

Zum Beispiel "corp.tld" oder "domain.tld" - halt abstrakt. Man kann auch eine "sinnlose" Buchstabenkombination nehmen. Ein Kunde hat sich mal für ein Standortkürzel entschieden, ohne Firmenname. Das Kürzel ist aber abstrakt genug, damit es bei einem Standortwechsel kein Problem darstellt.

 

Wichtig ist dann, dass einem die Domain gehört, was sich leicht bewerkstelligen lässt. Da man mit der nicht nach draußen auftritt, muss man auch nicht besonders auf das Markenrecht achten.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...