10
Best Practice: interner AD Domain Name mit Exchange und SSL
Hallo liebe Forengemeinde,
ich lese nun schon seit Tagen auf etlichen Seiten, aber ich habe trotzdem noch ein großes Fragezeichen über dem Kopf.
Geplant ist ein kleines Heimnetz mit Firewall (Sophos UTM), Active Directory und Exchange. Zugriff von intern wie extern.
Feste IP über Business Anschluss UnityMedia
Jetzt gehen ja die Meinungen auseinander wie man ein internes AD benennt. Aber, so lese ich das, die empfohlene Praxis ist mittlerweile eine subdomain zu der Internetdomain, da es bei SplitDNS und .local Konzepten wohl die meisten Probleme gibt.
Das sieht dann so aus:
Internetdomain = firma.de (gehostet bei Provider)
AD-Domain = ad.firma.de
Die UPN (firma.de) und NetBios Name (FIRMA) kann man ja entsprechend setzen, das ist mir soweit klar.
Um die Sophos als Reverse Proxy zu verwenden, muss ich den MX Eintrag der Domain firma.de auf die feste IP setzen. Dann brauche ich ja noch mindestens zwei Host-Einträge wie mail.firma.de (für OWA etc) und autodiscover.firma.de, auch jeweils auf die feste IP.
Jetzt noch ein öffentliches SSL Zertifikat für die zwei Namen beantragen.
Soweit klar (wenn nicht Euch hier schon Fehler auffallen), aber jetzt kommt mein Fragezeichen.
Laut Microsoft wird seit Exchange 2013 empfohlen, für den internen wie externen Zugriffspunkt, ein und denselben Hostnamen zu verwenden.
Also z.B. mail.firma.de
Wäre ja nicht verkehrt, da ich dann auch intern das gekaufte Zertifikat benutzen könnte.
Aber wie funktioniert das? Wahrscheinlich über DNS, aber welchen Wert muss ich wo eintragen, damit die interne Auflösung von mail.firma.de auch auf die interne Adresse der Sophos zeigt?!
Bei SplitDNS und .local wäre mir das klar über ein neuen Zoneneintrag, aber bei einer Subdomain??? Oder läuft es da genauso?
Hab zur Zeit echt ein Knoten im Hirn...
Danke im Voraus
PS: Oder wie sieht die Best Practice heutzutage aus?
ich lese nun schon seit Tagen auf etlichen Seiten, aber ich habe trotzdem noch ein großes Fragezeichen über dem Kopf.
Geplant ist ein kleines Heimnetz mit Firewall (Sophos UTM), Active Directory und Exchange. Zugriff von intern wie extern.
Feste IP über Business Anschluss UnityMedia
Jetzt gehen ja die Meinungen auseinander wie man ein internes AD benennt. Aber, so lese ich das, die empfohlene Praxis ist mittlerweile eine subdomain zu der Internetdomain, da es bei SplitDNS und .local Konzepten wohl die meisten Probleme gibt.
Das sieht dann so aus:
Internetdomain = firma.de (gehostet bei Provider)
AD-Domain = ad.firma.de
Die UPN (firma.de) und NetBios Name (FIRMA) kann man ja entsprechend setzen, das ist mir soweit klar.
Um die Sophos als Reverse Proxy zu verwenden, muss ich den MX Eintrag der Domain firma.de auf die feste IP setzen. Dann brauche ich ja noch mindestens zwei Host-Einträge wie mail.firma.de (für OWA etc) und autodiscover.firma.de, auch jeweils auf die feste IP.
Jetzt noch ein öffentliches SSL Zertifikat für die zwei Namen beantragen.
Soweit klar (wenn nicht Euch hier schon Fehler auffallen), aber jetzt kommt mein Fragezeichen.
Laut Microsoft wird seit Exchange 2013 empfohlen, für den internen wie externen Zugriffspunkt, ein und denselben Hostnamen zu verwenden.
Also z.B. mail.firma.de
Wäre ja nicht verkehrt, da ich dann auch intern das gekaufte Zertifikat benutzen könnte.
Aber wie funktioniert das? Wahrscheinlich über DNS, aber welchen Wert muss ich wo eintragen, damit die interne Auflösung von mail.firma.de auch auf die interne Adresse der Sophos zeigt?!
Bei SplitDNS und .local wäre mir das klar über ein neuen Zoneneintrag, aber bei einer Subdomain??? Oder läuft es da genauso?
Hab zur Zeit echt ein Knoten im Hirn...
Danke im Voraus
PS: Oder wie sieht die Best Practice heutzutage aus?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265103
Url: https://administrator.de/contentid/265103
Ausgedruckt am: 23.11.2024 um 13:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo jodi,
für ein "Heimnetzwerk" klingt das ja ein klein wenig übertrieben :D
Sophos UTM, Exchange 2013...
naja nichts desto trotz:
wieso willst du den DNS Eintrag denn auf die Sophos UTM verweisen?
richte auf deinem DC doch einfach ein DNS Eintrag ein, welcher direkt auf deinen Exchange Server zeigt.
Ist doch im Lokalen Netz und du musst gar nicht über die UTM gehen.
gruß fluluk
für ein "Heimnetzwerk" klingt das ja ein klein wenig übertrieben :D
Sophos UTM, Exchange 2013...
naja nichts desto trotz:
wieso willst du den DNS Eintrag denn auf die Sophos UTM verweisen?
richte auf deinem DC doch einfach ein DNS Eintrag ein, welcher direkt auf deinen Exchange Server zeigt.
Ist doch im Lokalen Netz und du musst gar nicht über die UTM gehen.
gruß fluluk
Moin,
Wir nutzen firma.de für Internetauftritte und andere Webhosting Dinge.
firma.net nutzen wir für alle Services die wir über unsere RZs bereitstellen.
Gruß,
Dani
Laut Microsoft wird seit Exchange 2013 empfohlen, für den internen wie externen Zugriffspunkt, ein und denselben Hostnamen zu verwenden.
Ist doch kein Problem. Dann lautet der MX-Record mail.ad.firma.de. Oder du entscheidest dich für [http://www.msxfaq.de/konzepte/dns.htm Split-DNS.Aber wie funktioniert das? Wahrscheinlich über DNS, aber welchen Wert muss ich wo eintragen, damit die interne Auflösung von mail.firma.de auch auf die interne Adresse der Sophos zeigt?!
Du legst einen A-Record für mail.ad.firma.de an, der zeigt auf die fixe IP. Den MX-Record für firma.de zeigt auf mail.ad.firma.de - fertisch.Bei SplitDNS und .local wäre mir das klar über ein neuen Zoneneintrag, aber bei einer Subdomain??? Oder läuft es da genauso?
.local kannst du vergessen. Das wird früher oder später ein Problem.Wir nutzen firma.de für Internetauftritte und andere Webhosting Dinge.
firma.net nutzen wir für alle Services die wir über unsere RZs bereitstellen.
Gruß,
Dani
Hallo,
wenn Heimnetzwerk, warum dann firma.de?
wenn Heimnetzwerk, warum dann firma.de?
Ist ein bisschen zum Spielen/Lernen gedacht. Das mit Firma.de ist einfach ein Beispiel.
Ich würde gerne auch die Sophos als Reverse Proxy benutzen.
Aber wie kann ich auf meinem internen DNS Server mit der Zone ad.firma.de ein Host Eintrag auf mail.firma.de setzen. Für diese Zone ist doch der externe DNS authorisiert.
SplitDNS ist doch aber genau das, was mittlerweile nicht mehr empfohlen wird, wegen diversen Problemen. Wohl auch wenn man über VPN reingeht.
Und wenn ich als MX Record ad.firma.de nehme, dann ist doch meine interne Subdomain draußen bekannt?! Was ja eigentlich nicht so schön ist.
Ich möchte einfach lernen, wie es heutzutage richtig gemacht wird. Da schreibt ja Microsoft eindeutig von subdomain.
Und wie machen das dann andere, die den Internetauftritt als firma,de habe und auch die emails darüber leiten mit einem internen Exchange? Also ohne SplitDNS oder Local!
Das mit der zweiten TLD ist auch Ansatz, den ich so noch gar nicht bedacht hatte.
Ich würde gerne auch die Sophos als Reverse Proxy benutzen.
Aber wie kann ich auf meinem internen DNS Server mit der Zone ad.firma.de ein Host Eintrag auf mail.firma.de setzen. Für diese Zone ist doch der externe DNS authorisiert.
SplitDNS ist doch aber genau das, was mittlerweile nicht mehr empfohlen wird, wegen diversen Problemen. Wohl auch wenn man über VPN reingeht.
Und wenn ich als MX Record ad.firma.de nehme, dann ist doch meine interne Subdomain draußen bekannt?! Was ja eigentlich nicht so schön ist.
Ich möchte einfach lernen, wie es heutzutage richtig gemacht wird. Da schreibt ja Microsoft eindeutig von subdomain.
Und wie machen das dann andere, die den Internetauftritt als firma,de habe und auch die emails darüber leiten mit einem internen Exchange? Also ohne SplitDNS oder Local!
Das mit der zweiten TLD ist auch Ansatz, den ich so noch gar nicht bedacht hatte.
Aber wie kann ich auf meinem internen DNS Server mit der Zone ad.firma.de ein Host Eintrag auf mail.firma.de setzen. Für diese Zone ist doch der externe DNS authorisiert
Das machst du auch auf dem externen DNS-Server.Gruß,
Dani
Ja, dann habe ich den extern erreichbar, das ist ja soweit klar, nur wie bekomme ich das hin, dass ich auch intern in den Browser mail.firma.de eingebe und es erscheint die OWA Seite?
Hab da jetzt was gefunden. Eine neue Zone mit mail.firma.de auf dem internen DNS einrichten und dann ein Host A Eintrag ohne Name nur mit der IP.
Wäre das die Lösung oder unsauber?
Hab da jetzt was gefunden. Eine neue Zone mit mail.firma.de auf dem internen DNS einrichten und dann ein Host A Eintrag ohne Name nur mit der IP.
Wäre das die Lösung oder unsauber?
Ja, dann habe ich den extern erreichbar, das ist ja soweit klar, nur wie bekomme ich das hin, dass ich auch intern in den Browser mail.firma.de eingebe und es erscheint die OWA Seite?
Les nochmal meinen Kommentar von gestern Abend. Du bringst jetzt die (Sub)Domains durcheinander. Du hast doch ad.firma.de als Domain Name. Somit ergibt soch doch rechnername.ad.firma.de. Mit einem CNAME auf dem internen DNS-Server mail.ad.firma.de erhältst du Zugriff.Gruß,
Dani
Kann sehr gut sein, dass ich hier was verwechsele, der Knoten im Kopf verschwindet ja auch noch nicht 
Ich möchte doch aber, und so verstehe ich das sollte doch "draußen" bei Firmen etc. auch gang und gebe sein, dass die User als OWA Seite die Domäne ohne den internen Name (Subdomäne) eingeben, oder? Also mail.firma.de
Ich möchte doch aber, und so verstehe ich das sollte doch "draußen" bei Firmen etc. auch gang und gebe sein, dass die User als OWA Seite die Domäne ohne den internen Name (Subdomäne) eingeben, oder? Also mail.firma.de
h möchte doch aber, und so verstehe ich das sollte doch "draußen" bei Firmen etc. auch gang und gebe sein, dass die User als OWA Seite die Domäne ohne den internen Name (Subdomäne) eingeben
Bei uns nicht und vergess mal "Intern". Das gibt bei solchen Konstellation nicht mehr. Dann ist Split-DNS die richtige Wahl.Gruß,
Dani
ich glaub, jetzt hat es klick gemacht , danke
, danke
