none
pridani dns zaznamu

    Dotaz

  • Zdravim,

    Potreboval bych poradit s pridanim DNS zaznamu.

    V siti mi bezi exchange server 2010. Kdyz se chci dostat na postu zvenci zadam https://mail.xxx.cz/owa a vse funguje. Potreboval bych aby jsem se se stejnym jmenem pripojil i v mistni siti. Tam mi to funguje pouze https://server02.local/owa. Urcite to budu take potrebovat aby jsem vyresil problem s hlaskou v outlooku 2007 (spatny certifikat). Vytvoril jsem si zdarma certifikat u Strarcomu. Je mozne ho pro tyto ucely pouzit?

    Dekuji Pavel

    pondělí 10. října 2011 12:25

Odpovědi

  • Ahoj, Stačí si na serveru otevřít konzolu DNS. Tam vytvořit novou zónu mail.firma.cz a přidat do ní záznam A směřující na ten Exchange. S tím certifikátem je to horší. Exchange v místní síti vždy bude používat FQDN toho serveru. Tedy východiskem je buď si vytvořit vlastní certifikační autoritu nebo zakoupit certifikát, který obsahuje SAN a je tam uvedeno i server.domena.local - bacha - StartSSL/Startcom to nepodporují i když to uvádějí na webu. 
    pondělí 10. října 2011 12:35
  • To zbr: co kdyz budou mit klienti nastavene ruzne DNS servery? gg? A proc by to meli tak mit? Ve spravne nastavene domene maji DNS servery na DC = na to DNS, na kterem jsem udelal (podle vas  "osklivy") A zaznam = zadny problem nevznika.

    Tj. jsem vevnitr = mam vnitrni DNS = dostavam "upraveny" zaznam = nemam problem.

    Jsem doma na internetu = mam DNS od ISP = dostavavam internetovou adresu = problem opet nevznika.

    Nejak nevidim problem. A jak psali ostatni panove = je to bezne reseni. Podle vaseho tvrzeni je treba vystrcit terminal server ven na internet, pokud na nej chci i zevnitr pristupovat internetovym jmenem? Ja tvrdim, ze je lepsi promapovat jen RDP port do vnitrni site a udelat "osklivy" zaznam s DNS.

    To PavelACS: pokud to cele chcete delat jen kvuli tomu, abyste vyresil "certifikatovy" problem, pak je IMHO "spravnejsi" mit na serveru certifikat, ktery je pro vice jmen - tj pro vnejsi internetove jmeno, vnitrni domenove jmeno, pripadne i pro kratke NETBIOSove.

    Jedno z moznych reseni jak ziskat takovy certifikat napriklad zde http://support.microsoft.com/kb/931351

     

    úterý 11. října 2011 11:27

Všechny reakce

  • Ahoj, Stačí si na serveru otevřít konzolu DNS. Tam vytvořit novou zónu mail.firma.cz a přidat do ní záznam A směřující na ten Exchange. S tím certifikátem je to horší. Exchange v místní síti vždy bude používat FQDN toho serveru. Tedy východiskem je buď si vytvořit vlastní certifikační autoritu nebo zakoupit certifikát, který obsahuje SAN a je tam uvedeno i server.domena.local - bacha - StartSSL/Startcom to nepodporují i když to uvádějí na webu. 
    pondělí 10. října 2011 12:35
  • Osobně si myslím, že lokálně zřizovat zónu firma.cz a přidat do ní A záznam pro mail.firma.cz není nejšťastnější. Způsobí to několik komplikací: je nutné udržovat záznamy na dvou DNS (jedno externí, druhé interní), které je pak autoritativní a co když budou mít klienti nastavené různé DNS servery a pro jeden název budou dostávat různé IP adresy (jednou veřejnou IP, jednou privátní). Ještě zamotanější to může být, pokud se někdo k takové síti připojí skrze VPN - jaký DNS server mu přeloží název, jakou cestou potom bude klient na Exchange nebo i jinam přistupovat.

    Pokud je nezbytné k danému serveru přistupovat pod stejným názvem z Internetu i z lokání sítě, nenapadá mě jiné řešení než aby ten server měl veřejnou IP (popř. NAT na nějaké bráně) a byl umístěn v DMZ.

    Jestli někdo vymyslel lepší řešení, tak mě určitě taky zajímá

    ZbR

    pondělí 10. října 2011 14:54
  • DD,

    proč se vám nelíbí mít 2 různé záznamy. Myslím že je to jediné "normální" řešení.

     

    Uvnitř bude přeládat firemní DNS, venku bude fungovat DNS poskytovatele.

    Na klientech nesmí být mix DNS záznamů (interní a venkovní). To vždycky způsobí potíže. Musí tam být jen a pouze interní DNS server.

    Pokud používáte VPN měl by jste mít firemní DNS, ale je to celkem jedno který mu to přeloží. Dostanete se tam oběma cestami.

     


    JCH
    pondělí 10. října 2011 16:07
  • Nevidím důvod tvořit zónu firma.cz. Bohatě stačí mail.firma.cz.

    Tak je to správně a tak se to má dělat. Tvůj popsaný způsob by třeba nikdy nemohl fungovat v sítích s SBS2008/2011 atd.. Mnoho routerů svoji IP adresu přeloží na sebe a tím to končí..

    pondělí 10. října 2011 16:49
  • To zbr: co kdyz budou mit klienti nastavene ruzne DNS servery? gg? A proc by to meli tak mit? Ve spravne nastavene domene maji DNS servery na DC = na to DNS, na kterem jsem udelal (podle vas  "osklivy") A zaznam = zadny problem nevznika.

    Tj. jsem vevnitr = mam vnitrni DNS = dostavam "upraveny" zaznam = nemam problem.

    Jsem doma na internetu = mam DNS od ISP = dostavavam internetovou adresu = problem opet nevznika.

    Nejak nevidim problem. A jak psali ostatni panove = je to bezne reseni. Podle vaseho tvrzeni je treba vystrcit terminal server ven na internet, pokud na nej chci i zevnitr pristupovat internetovym jmenem? Ja tvrdim, ze je lepsi promapovat jen RDP port do vnitrni site a udelat "osklivy" zaznam s DNS.

    To PavelACS: pokud to cele chcete delat jen kvuli tomu, abyste vyresil "certifikatovy" problem, pak je IMHO "spravnejsi" mit na serveru certifikat, ktery je pro vice jmen - tj pro vnejsi internetove jmeno, vnitrni domenove jmeno, pripadne i pro kratke NETBIOSove.

    Jedno z moznych reseni jak ziskat takovy certifikat napriklad zde http://support.microsoft.com/kb/931351

     

    úterý 11. října 2011 11:27