none
DNS-Namen für neuen Forrest (subdom.contoso.int sinnvoll?) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wir wollen unsere Single Active Directory Domäne (win 2008 R2) durch einen neuen Forrest ablösen (win 2016).
    Wir sinnvoll ist ein DNS-Name subdom.contoso.int für die Root-Domäne des neuen Forrest ?

    Viele Grüße
    Roland

    Donnerstag, 6. Juli 2017 09:04
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    (jetzt abgesehen davon, dass ein AD-Forest nur ein R hat, er heißt ja in der Regel nicht Gump ;-) )

    ich würde persönlich bereits damit anfangen, dass ich .int nicht unbedingt für eine gute Wahl halte. Was spricht denn dagegen, Deine externe Domain (Maildomain) als AD-Domain zu nehmen? Die einzige wirkliche Unannehmlichkeit wäre, dass Deine User nicht http://domain.com zu einer externen Adresse werden auflösen können. Und wenn das tatsächlich notwendig ist, kannst Du das ganz leicht umgehen, indem Du den Internet-Proxy die DNS-Auflösung extern anfragen lässt oder diesen einen Namen dort in der HOSTS-Datei hinterlegst.

    Dafür werden ein paar Dinge plötzlich ganz einfach:

    - Login mit e-Mail-Adresse (man kann natürlich den UPN auch sonst auf die e-Mail-Adresse setzen, aber wenn der Default UPN schon so ist, ist es halt NOCH einfacher)

    - gleiches SSL-Zertifikat extern und intern für Webdienste, Exchange usw. (und damit meine ich eins, dem extern auch vertraut wird)

    Ansonsten ist Domain Naming eine Religion ;-) Und wenn Du bei einer nicht global auflösbaren Domain bleibst, warum sollte man DAVON eine Subdomain nehmen?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Donnerstag, 6. Juli 2017 19:34
    |
  • Question
    Anmelden
    1
    Anmelden

    Genau um die externe Namensauflösung http://domain.com geht es. Unsere User können zur Zeit nicht die externe Website des eigenen Arbeitgebers aufrufen.

    ...und www. davor schreiben wäre tatsächlich zuviel verlangt? Oder hat die Seite absolute Bezüge, und die fangen gleich mit der Domain an?

    Aber wenn ihr einen Proxy am Start habt, ist es halt noch einfacher zu lösen, s. oben.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Donnerstag, 6. Juli 2017 21:28
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    (jetzt abgesehen davon, dass ein AD-Forest nur ein R hat, er heißt ja in der Regel nicht Gump ;-) )

    ich würde persönlich bereits damit anfangen, dass ich .int nicht unbedingt für eine gute Wahl halte. Was spricht denn dagegen, Deine externe Domain (Maildomain) als AD-Domain zu nehmen? Die einzige wirkliche Unannehmlichkeit wäre, dass Deine User nicht http://domain.com zu einer externen Adresse werden auflösen können. Und wenn das tatsächlich notwendig ist, kannst Du das ganz leicht umgehen, indem Du den Internet-Proxy die DNS-Auflösung extern anfragen lässt oder diesen einen Namen dort in der HOSTS-Datei hinterlegst.

    Dafür werden ein paar Dinge plötzlich ganz einfach:

    - Login mit e-Mail-Adresse (man kann natürlich den UPN auch sonst auf die e-Mail-Adresse setzen, aber wenn der Default UPN schon so ist, ist es halt NOCH einfacher)

    - gleiches SSL-Zertifikat extern und intern für Webdienste, Exchange usw. (und damit meine ich eins, dem extern auch vertraut wird)

    Ansonsten ist Domain Naming eine Religion ;-) Und wenn Du bei einer nicht global auflösbaren Domain bleibst, warum sollte man DAVON eine Subdomain nehmen?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Donnerstag, 6. Juli 2017 19:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    subdom.contoso.int ist ein unglücklich gewähltes Beispiel von mir ;-)

    Genau um die externe Namensauflösung http://domain.com geht es. Unsere User können zur Zeit nicht die externe Website des eigenen Arbeitgebers aufrufen.

    Ein externer Dienstleister hatte die Idee mit der subdom.domain.com als DNS Name des neuen AD.
    Gefiel mir nicht besonders und wollte deshalb eine dritte Meinung.
    Mir gefällt das Login mit der e-Mail Adresse auch viel besser weil einfacher.

    Viele Grüße
    Roland

    Donnerstag, 6. Juli 2017 19:59
    |
  • Question
    Anmelden
    1
    Anmelden

    Genau um die externe Namensauflösung http://domain.com geht es. Unsere User können zur Zeit nicht die externe Website des eigenen Arbeitgebers aufrufen.

    ...und www. davor schreiben wäre tatsächlich zuviel verlangt? Oder hat die Seite absolute Bezüge, und die fangen gleich mit der Domain an?

    Aber wenn ihr einen Proxy am Start habt, ist es halt noch einfacher zu lösen, s. oben.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Donnerstag, 6. Juli 2017 21:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 06.07.17 um 23:28 schrieb Evgenij Smirnov:

    Genau um die externe Namensauflösung http://domain.com geht es. Unsere User können zur Zeit nicht die externe Website des eigenen Arbeitgebers aufrufen.

    ...und www. davor schreiben wäre tatsächlich zuviel verlangt?

    Hast du die Diskussion schonmal mit Kunden geführt? Ich glaub ja, die meisten sind diesbezüglich inzwischen durch google, facebook und touch einfach nur zu faul (was anderes möchte ich mal nicht unterstellen). ;)

    Bye
    Norbert

    Donnerstag, 6. Juli 2017 22:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 06.07.17 um 23:28 schrieb Evgenij Smirnov:

    Genau um die externe Namensauflösung http://domain.com geht es. Unsere User können zur Zeit nicht die externe Website des eigenen Arbeitgebers aufrufen.

    ...und www. davor schreiben wäre tatsächlich zuviel verlangt?

    Hast du die Diskussion schonmal mit Kunden geführt? Ich glaub ja, die meisten sind diesbezüglich inzwischen durch google, facebook und touch einfach nur zu faul (was anderes möchte ich mal nicht unterstellen). ;)

    Bye
    Norbert

    Habe ich, wurde mir aber immer schnell zu blöd ;-)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Donnerstag, 6. Juli 2017 22:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Aber wenn ihr einen Proxy am Start habt, ist es halt noch einfacher zu lösen, s. oben.

    Proxy haben wir, funktioniert bestens.
    Danke für den Tipp :-)

    Viele Grüße
    Roland

    Freitag, 7. Juli 2017 08:58
    |