6
DNS-Domänen-Einrichtung für Firmen-Netzwerk
Hallo Administratoren-Gemeinde,
ich habe ein Design-Problem bei meiner DNS-Struktur und hätte gern Eure Meinung bzw Empfehlung dazu.
Üblicher Weise hat eine Firma eine entsprechende Firmen-Domäne reserviert bzw. eintragen lassen (zB. meine-firma.de). Unter dieser Domäne betreibt die Firma einen Internet-Auftritt (www.meine-firma.de), der beim Provider gehostet wird.
Für die interne Strukturierung des Firmen-LANs wird ein eigener DNS-Server betrieben. Als „Top-Level-Domäne“ hat man früher eine „nicht-offizielle“ Domäne benutzt: zB. „local“. Damit hieß die interne Domäne, in der alle internen Ressourcen eingetragen waren, zB „firma.local“. Für die einzelnen Abteilungen oder andere Struktureinheiten richtete man Sub-Domänen ein:
abteilung1.firma.local
drucker.firma.local
usw.
Mit den Veränderungen im Bereich der Top-Level-Domänen ist die „interne Domäne“ .local nicht mehr intern frei nutzbar. Um Problemen aus dem Weg zu gehen, sollte man die „interne Domäne“, also die auf dem eigenem DNS-Server verwaltete Domäne wie die eigene „externe Domäne“ benennen: meine-firma.de.
Bei den Subdomänen für die Struktureinheiten und die darin gelisteten Hosts ist das ja auch kein Problem.
Für die internen Server, die zum Teil auch nach außen aufgelöst werden sollen (zB. mail.meine-firma.de, ftp.meine-firma.de) gibt es aber aus meiner Sicht ein Problem, da ja die Zone meine-firma.de schon vom externen Provider mit dem Web-Server verwaltet wird.
Habe ich da einen „Denk-Fehler“? Wie habt Ihr dieses Problem gelöst? Worauf muß ich achten? Welche Absprachen sind gegebenenfalls mit dem Provider zu tätigen? (Bisher habe ich nur einen mx-Record auf meine feste externe IP für meinen Mail-Server eintragen lassen)
Für Hinweise und Denkanstöße bin ich dankbar.
Jürgen
ich habe ein Design-Problem bei meiner DNS-Struktur und hätte gern Eure Meinung bzw Empfehlung dazu.
Üblicher Weise hat eine Firma eine entsprechende Firmen-Domäne reserviert bzw. eintragen lassen (zB. meine-firma.de). Unter dieser Domäne betreibt die Firma einen Internet-Auftritt (www.meine-firma.de), der beim Provider gehostet wird.
Für die interne Strukturierung des Firmen-LANs wird ein eigener DNS-Server betrieben. Als „Top-Level-Domäne“ hat man früher eine „nicht-offizielle“ Domäne benutzt: zB. „local“. Damit hieß die interne Domäne, in der alle internen Ressourcen eingetragen waren, zB „firma.local“. Für die einzelnen Abteilungen oder andere Struktureinheiten richtete man Sub-Domänen ein:
abteilung1.firma.local
drucker.firma.local
usw.
Mit den Veränderungen im Bereich der Top-Level-Domänen ist die „interne Domäne“ .local nicht mehr intern frei nutzbar. Um Problemen aus dem Weg zu gehen, sollte man die „interne Domäne“, also die auf dem eigenem DNS-Server verwaltete Domäne wie die eigene „externe Domäne“ benennen: meine-firma.de.
Bei den Subdomänen für die Struktureinheiten und die darin gelisteten Hosts ist das ja auch kein Problem.
Für die internen Server, die zum Teil auch nach außen aufgelöst werden sollen (zB. mail.meine-firma.de, ftp.meine-firma.de) gibt es aber aus meiner Sicht ein Problem, da ja die Zone meine-firma.de schon vom externen Provider mit dem Web-Server verwaltet wird.
Habe ich da einen „Denk-Fehler“? Wie habt Ihr dieses Problem gelöst? Worauf muß ich achten? Welche Absprachen sind gegebenenfalls mit dem Provider zu tätigen? (Bisher habe ich nur einen mx-Record auf meine feste externe IP für meinen Mail-Server eintragen lassen)
Für Hinweise und Denkanstöße bin ich dankbar.
Jürgen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 256351
Url: https://administrator.de/contentid/256351
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
einen Denkfehler hast du nicht. Um das zu realisieren bräuchtest du theoretisch eine weitere feste IP Adresse.
Das Problem ist das der A-Pointer auf den Webhoster zeigt, du eben einen solchen brauchst um die Namens Auflösung externer Namen auch intern auf deinem DNS aufzulösen.
VG
Criemo
einen Denkfehler hast du nicht. Um das zu realisieren bräuchtest du theoretisch eine weitere feste IP Adresse.
Das Problem ist das der A-Pointer auf den Webhoster zeigt, du eben einen solchen brauchst um die Namens Auflösung externer Namen auch intern auf deinem DNS aufzulösen.
VG
Criemo
Hallo,
erstmal Danke für die Antwort.
Ich habe mich aber vielleicht nicht ganz klar ausgedrückt:
Der Web-Server wird beim Provider gehostet und ist unter www.meine-firma.de erreichbar. Über nslookup erhalte ich über die Revers-Auflösung eine IP (aaa.bbb.ccc.ddd).
Der Mail-Server wird von mir im Firmen-LAN betrieben. Er steht hinter einer Firewall und einem Mail-Proxy und ist über NAT von außen über eine feste IP (mmm.nnn.ooo.ppp) erreichbar. Beim Provider existiert für diese externe IP ein mx-Record für die Domäne meine-firma.de. Intern hat dieser Server ine private IP (192.168.xxx.zzz). Intern existiert auch ein DNS-Server, der die Domäne firma.local und den IP-Bereich 192.168.xxx.--- verwaltet.
Es existiert noch ein ftp-Server, der ebenfalls hinter der Firerwall steht und über eine weitere feste IP (mmm.nnn.ooo.qqq) per NAT erreichbar ist. Intern hat er die Adresse 192.168.xxx.yyy und ist ebenfalls in die interne Domäne als ftp.firma.local eingetragen. Von extern ist er nur über die feste IP mmm.nnn.ooo.qqq und nicht über seinen namen ftp.meine-firma.de erreichbar (kein A-Record beim Provider).
Alles funktioniert!
Nun will/muß ich meine interne Domäne firma.local auflösen und statt dessen die externe Domäne meine-firma.de auch intern nutzen. Solange mein interner DNS-Server nur Sub-Domänen (zB abteilung1.meine-firma.de) verwaltet, ist das ja kein Problem.
Wenn mein interner DNS-Server nun aber auch die Firmen-Domäne meine-firma.de mitverwaltet, damit meine internen Server (zB. file.meine-firma.de, drucker.meine-firma.de, datenbank.mein-firma.de, mail.meine-firma.de und ftp.meine-firma.de) aufgelöst werden können, sehe ich ein Problem. Der File-, Drucker- und Datenbank-Server sollen ja nur intern erreicht werden, erhalten logischer weise keinen A-Record beim Provider für die Firmen-Domäne meine-firma.de. Mail- und FTP-Server haben/bekommen einen entsprechenden A-Record beim Provider, haben intern und extern aber unterschiedliche IP-Adressen.
Dh., beim Provider und bei mir existieren jeweils DNS-Server (die formal nichts voneinander wissen), die für die gleiche Zone (meine-firma.de) und die gleichen Server mail.maine-firma.de und ftp.meine....
unterschiedliche IPs verwalten. Der externe DNS-Server löst dann noch www.meine-firma.de auf und den interne DNS-Server muß die Adressen/Name von File-, Print- und DB-Server auflösen, die nur interne IPs haben.
Das muß doch "Knüll" geben. Doch wie löst man diesen "Knoten"?
Jürgen
erstmal Danke für die Antwort.
Ich habe mich aber vielleicht nicht ganz klar ausgedrückt:
Der Web-Server wird beim Provider gehostet und ist unter www.meine-firma.de erreichbar. Über nslookup erhalte ich über die Revers-Auflösung eine IP (aaa.bbb.ccc.ddd).
Der Mail-Server wird von mir im Firmen-LAN betrieben. Er steht hinter einer Firewall und einem Mail-Proxy und ist über NAT von außen über eine feste IP (mmm.nnn.ooo.ppp) erreichbar. Beim Provider existiert für diese externe IP ein mx-Record für die Domäne meine-firma.de. Intern hat dieser Server ine private IP (192.168.xxx.zzz). Intern existiert auch ein DNS-Server, der die Domäne firma.local und den IP-Bereich 192.168.xxx.--- verwaltet.
Es existiert noch ein ftp-Server, der ebenfalls hinter der Firerwall steht und über eine weitere feste IP (mmm.nnn.ooo.qqq) per NAT erreichbar ist. Intern hat er die Adresse 192.168.xxx.yyy und ist ebenfalls in die interne Domäne als ftp.firma.local eingetragen. Von extern ist er nur über die feste IP mmm.nnn.ooo.qqq und nicht über seinen namen ftp.meine-firma.de erreichbar (kein A-Record beim Provider).
Alles funktioniert!
Nun will/muß ich meine interne Domäne firma.local auflösen und statt dessen die externe Domäne meine-firma.de auch intern nutzen. Solange mein interner DNS-Server nur Sub-Domänen (zB abteilung1.meine-firma.de) verwaltet, ist das ja kein Problem.
Wenn mein interner DNS-Server nun aber auch die Firmen-Domäne meine-firma.de mitverwaltet, damit meine internen Server (zB. file.meine-firma.de, drucker.meine-firma.de, datenbank.mein-firma.de, mail.meine-firma.de und ftp.meine-firma.de) aufgelöst werden können, sehe ich ein Problem. Der File-, Drucker- und Datenbank-Server sollen ja nur intern erreicht werden, erhalten logischer weise keinen A-Record beim Provider für die Firmen-Domäne meine-firma.de. Mail- und FTP-Server haben/bekommen einen entsprechenden A-Record beim Provider, haben intern und extern aber unterschiedliche IP-Adressen.
Dh., beim Provider und bei mir existieren jeweils DNS-Server (die formal nichts voneinander wissen), die für die gleiche Zone (meine-firma.de) und die gleichen Server mail.maine-firma.de und ftp.meine....
unterschiedliche IPs verwalten. Der externe DNS-Server löst dann noch www.meine-firma.de auf und den interne DNS-Server muß die Adressen/Name von File-, Print- und DB-Server auflösen, die nur interne IPs haben.
Das muß doch "Knüll" geben. Doch wie löst man diesen "Knoten"?
Jürgen
Hi Jürgen,
ahhh jetzt wird es hell.
Okay du kannst einfach eine weitere Zone erstellen mit eurem externen Namen. Innerhalb deines DNS benutzt du eh nur die Internen Adressen.
Zu beachten ist aber dass wenn du die Zone erstellst mit euredomain.de, dass du darunter einen Eintrag machst der wie folgt aussieht: www und dann auf die Externe IP die beim Hoster liegt.
Dazu solltest du in deinem DNS, Weiterleitungen konfigurieren die auf die IP Adressen des DNS deines ISP's zeigen.
also sähe das wie folgt aus:
domain.local
DC =192.168.0.1
dc2=192.168.0.2
euredoimain.de
www= 213.x.x.x
dc=192.168.0.1
dc2=192.168.0.2
Dann machst du Weiterleitungen zum DNS deines ISPs, damit falls dein interner DNS alles weiterleitet, was er nicht auflösen kann.
Gruß
Criemo
ahhh jetzt wird es hell.
Okay du kannst einfach eine weitere Zone erstellen mit eurem externen Namen. Innerhalb deines DNS benutzt du eh nur die Internen Adressen.
Zu beachten ist aber dass wenn du die Zone erstellst mit euredomain.de, dass du darunter einen Eintrag machst der wie folgt aussieht: www und dann auf die Externe IP die beim Hoster liegt.
Dazu solltest du in deinem DNS, Weiterleitungen konfigurieren die auf die IP Adressen des DNS deines ISP's zeigen.
also sähe das wie folgt aus:
domain.local
DC =192.168.0.1
dc2=192.168.0.2
euredoimain.de
www= 213.x.x.x
dc=192.168.0.1
dc2=192.168.0.2
Dann machst du Weiterleitungen zum DNS deines ISPs, damit falls dein interner DNS alles weiterleitet, was er nicht auflösen kann.
Gruß
Criemo
Hier ist es hilfreich einfach eine subzone im DNS zu erstellen.
Also alles öffentliche (Webauftritt, Office365, ...) erfolgt über meine-Firma.de
Das AD setzt man dann in intern.meine-firma.de auf. Es ist möglich bis zu 5. Glieder zu haben. Dein drucker hat dann beispielsweise den Fully Qualified domain name
Drucker1.standort.intern.meine-firma.de (und das darf nicht länger als 255 Zeichen sein)
Also alles öffentliche (Webauftritt, Office365, ...) erfolgt über meine-Firma.de
Das AD setzt man dann in intern.meine-firma.de auf. Es ist möglich bis zu 5. Glieder zu haben. Dein drucker hat dann beispielsweise den Fully Qualified domain name
Drucker1.standort.intern.meine-firma.de (und das darf nicht länger als 255 Zeichen sein)
Hallo,
danke für deinen Kommentar, aber hast du mal auf das Veröffentlichungsdatum der Frage geschaut: 1.12.2014???
Es wäre ja schlimm, wenn ich immer noch an diesem "Problem" herrumdoktern würde.
Jürgen
PS Für obiges Problem gibt es 2 Lösungen:
1. Split-Domain https://www.msxfaq.de/konzepte/dns.htm
2. Sub-Domain, wie du es beschreibst.
Ich selbst habe bei der Umstellung in unserem Firmen-Netz die 2. Variante (wie du sie auch beschreibst) genutzt. Und es läuft seit meheren Jahren problemlos.
danke für deinen Kommentar, aber hast du mal auf das Veröffentlichungsdatum der Frage geschaut: 1.12.2014???
Es wäre ja schlimm, wenn ich immer noch an diesem "Problem" herrumdoktern würde.
Jürgen
PS Für obiges Problem gibt es 2 Lösungen:
1. Split-Domain https://www.msxfaq.de/konzepte/dns.htm
2. Sub-Domain, wie du es beschreibst.
Ich selbst habe bei der Umstellung in unserem Firmen-Netz die 2. Variante (wie du sie auch beschreibst) genutzt. Und es läuft seit meheren Jahren problemlos.
Guten Morgen @chiefteddy
Wenn Sie dann deinen Beitrag finden, ist es doch cool, wenn es jemand leicht und verständlich erklärt hat.
P.S. War dein Beitrag als "gelöst" makiert?
Freut mich.
Gruß
IT-Pro
danke für deinen Kommentar, aber hast du mal auf das Veröffentlichungsdatum der Frage geschaut: 1.12.2014???
Ja, das habe ich. Ich gehe davon aus, dass andere Menschen auch auf das Problem kommen werden (auch jetzt noch in 2018 oder in auch noch 2020.)Wenn Sie dann deinen Beitrag finden, ist es doch cool, wenn es jemand leicht und verständlich erklärt hat.
P.S. War dein Beitrag als "gelöst" makiert?
Ich selbst habe bei der Umstellung in unserem Firmen-Netz die 2. Variante (wie du sie auch beschreibst) genutzt. Und es läuft seit mehreren Jahren problemlos.
Freut mich.
Gruß
IT-Pro
