RalfHH 10 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Hallo Ihr, ich versuche mich gerade an einer Active Directory Installation und hab mal ne Versständnisfrage: Es wird immer geschrieben man soll seinen orginal Dominnamen mit Anhang .local verwenden also Firma.local anstatt Firma.de Warum ist das besser?? Kann ich nicht einfach meinen Firmennamen nehmen also etwa Hamburg.firma.de und für einen weiteren Standort Berlin.firma.de Hat das irgendwelche Auswirkungen??? Tausend Dank schonmal Gruß Ralf Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Hallo erstmal ja könnte man auch ... aber ... man sollte den öffentlichen Auftritt und die AD strucktur trennen aus sicherheitsrelevanten Gründen. Mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Die Sicherheitsgründe, die immer (auch in MS-Unterlagen) angegeben werden, kann ich nicht richtig nachvollziehen. Macht nix. Ich würde das aber rein aus pragmatischen Gründen nicht machen, die AD-Domäne mit einem Internetnamen versehen, vor allem, wenn man eine Internetdomäne mit diesem Namen hat oder registrieren will. Ein fiktiver Top-Level-Domain Name ist da besser. grizzly999 Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 15. November 2004 Melden Teilen Geschrieben 15. November 2004 @ grizzly999 Ich würde das aber rein aus pragmatischen Gründen nicht machen Ich hab immer deine raschen und kompetenten Antworten bewundert aber seit deinen Status ... schreibst du teilweise verwirrd ... Hab ich so das gefühl ... ? Eine AD mit Internetauftritt, da hat man schon mal die hälfte der E-Mail Adresse dann noch ein falsch konfigurierter Exchange und zum schluß noch ein User der fleißig im Internet mit seiner Mail Adresse hausiert ... ist das nicht ein graus ... :o mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. November 2004 Melden Teilen Geschrieben 15. November 2004 Eine AD mit Internetauftritt, da hat man schon mal die hälfte der E-Mail Adresse dann noch ein falsch konfigurierter Exchange Wieso "falsch konfigurierter" Exchange, das verstehe ich nicht. Meine AD-Domäne hat meinen offiziellen Internetnamen, mein Exchange ist deshalb aber nicht falsch konfiguriert und einen Sicherheitsverlust habe ich darurch überhaupt nicht, welchen auch?! und zum schluß noch ein User der fleißig im Internet mit seiner Mail Adresse hausiert ... ist das nicht ein graus ... Nein, das ist kein Graus, dafür ist eine email Adresse doch da, dass sie andere bekommen. Wo ist der Sicherheitsverlust?! Den potentiellen "Sicherheitsverlust", der bei MS immer in allen Unterlagen angesprochen wird, begründet sich in den Szenarien immer da drauf, dass diese Unternehmen in den Beispielaufgaben ihren eigenen Internet-DNS Server in ihrer DMZ hosten, und bei unvorsichtiger Replikationseinstellung plötzlich im DNS mit dem ja offiziellen DNS-Namen in der DMZ plötzlich interne Ressourcen auftauchen. Also selbst große Firmen hosten meist ihren eigenen DNS nicht mehr, sondern der steht beim Provider. Und wer dennoch in so einem Fall seine interne DNS-Zone auf den DNS in der DMZ replizieren lässt ...... also IMHO ist das ziemlich an den Haaren herbeigezogen. Probleme kann es bei der Namensauflösung geben, wenn z.B. bei einem Mehrdomänenmodell der eigene DNS der Root-Domain (die den offiziellen Namen hat) nicht erreichbar ist. Dann versucht der untergeordnete DNS den DomänenNamen beim Provider aufzulösen und trägt dessen DNS im DNS-Cache ein -> Panne. Probleme können entstehen, wenn von externen Mitarbeiten auf interne Postfächer zugegriffen werden soll, und die aber eine funktionierende Internetnamensauflösung haben und dann nicht beim Firmenmailserver landen, sondern bei dem vom Provider (wenn dort ein SMTP gehostet wird). Probleme können entstehen, wenn man im Proxy angibt, den Proxy für den lokalen Domänennamen (FQDN) zu umgehen, aber dann auf die Homepage mit diesem Namen im Internet über den Proxy muss. Usw. Aber das sind alles keine Sicherheitsrelevanten Probleme, sondern eher "pragmatische" Probleme, wie ich sie oben bezeichnet hatte. Aber wenn es wirkliche (komkrete) Sicherheitsprobleme außer dem oben genannten fiktiven DNS-Problem bei der Verwendung des offiziellen DNS-Namens im AD gibt, dann her erzählen .... ;) grizzly999 Zitieren Link zu diesem Kommentar
dark knight 10 Geschrieben 15. November 2004 Melden Teilen Geschrieben 15. November 2004 Original geschrieben von RalfHH Hallo Ihr, ich versuche mich gerade an einer Active Directory Installation und hab mal ne Versständnisfrage: Es wird immer geschrieben man soll seinen orginal Dominnamen mit Anhang .local verwenden also Firma.local anstatt Firma.de Warum ist das besser?? Kann ich nicht einfach meinen Firmennamen nehmen also etwa Hamburg.firma.de und für einen weiteren Standort Berlin.firma.de Hat das irgendwelche Auswirkungen??? Tausend Dank schonmal Gruß Ralf Nein eigentlich keinen. Novice Users werden dann allerdings von erhöhter Komplexität der Verwaltung überrascht ( wollte Grizzly damit wohl sagen :D ) Du tust dich einfacher { goiles Deutsch} wenn du bei .local bleibst. Zitieren Link zu diesem Kommentar
Adben 10 Geschrieben 16. November 2004 Melden Teilen Geschrieben 16. November 2004 Im internen Netz wird man in der Regel mit entsprechenden "privaten" (nicht routingfähigen) IP-Adressen arbeiten, wieso sollte man dann für eine Abbildung der Verwaltungsstruktur einen öffentlichen Domänennamen benützen? Was die Exchangekonfiguration anbelangt, werden Adresspolicies definiert und scheiden damit als Problemquelle für .local-Domains aus. Entscheidender wäre die ggf. erforderliche Umleitung der internen Anfragen an den externen bzw. "öffentlichen" Webserver, falls dieser NICHT in der eigenen DMZ steht und die AD-Domain firma.de lautet oder anders ausgedrückt die komplexere DNS-Konfiguration. Wenn dort Fehler unterlaufen, hat man durchaus Sicherheitsprobleme. Zitieren Link zu diesem Kommentar
holgi_man 10 Geschrieben 17. November 2004 Melden Teilen Geschrieben 17. November 2004 @ grizzly999 Exchange prob. standartmäßig wird doch die E-Mail adr. aus den UserName und den Suffix erstellt wenn nichts anderes definiert wird oder liege ich da falsch? mit den freundlichsten holgi :) Zitieren Link zu diesem Kommentar
Adben 10 Geschrieben 18. November 2004 Melden Teilen Geschrieben 18. November 2004 Original geschrieben von holgi_man Exchange prob. standartmäßig wird doch die E-Mail adr. aus den UserName und den Suffix erstellt wenn nichts anderes definiert wird oder liege ich da falsch? Nö schon recht... Allerdings ist es nicht sonderlich aufwendig Adressen mit nem anderen Suffix generieren zulassen, dazu wird die Adresspolicy entsprechend erweitert/angepasst. Zusätzlich muss halt noch nen MX-Eintrag im DNS gemacht werden. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.