Passt der AD Name so?

Don-DCH

Captain
Registriert
Aug. 2009
Beiträge
3.346
Guten Morgen zusammen,

vor einiger Zeit habe ich einen Windows Domänen Controller aufgesetzt und habe als FQDN folgenden Namen gewählt
AD.DOMAINNAME.DE

ich habe gelesen gehabt, dass dies der gängige Weg ist. Eine Subdomain AD.DOMAINNAME.DE habe ich nicht angelegt, muss man ja glaube ich auch nicht oder?
Kann es aufgrund des Domainnamens zu Problemen führen? Aufgrunddessen, da es sich um eine TLD handelt, allergings arbeite ich ja nur mit der Subdomain AD.

Vor wenigen Wochen habe ich gelesen, dass die Endung .aa oder .zz für die Private Verwendung genommen werden kann.
Dies fande ich auch ganz gut, einen E-Mail Server (Wofür dan die klassische TLD empfhohlen wird) werde ich nie aufsetzen, es geht rein um eine Domäne mehr nicht.

Daher die Frage, würdet ihr das so lassen wie es ist oder muss ich speziell im DNS noch was konfigurieren?
Oder würdet Ihr einen Namen Beispielsweise Lokal.ZZ bevorzugen?

Viele Grüße und danke Euch im Voraus!
 
für eine lokale Domäne kannst due jeden beliebigen Namen benutzen. Das muss nicht zwingend dem genannten Schema entsprechen, es kann auch local.local heißen oder so
 
da mache ich gerne bei der Diskussion mit.

Ich arbeite immer noch mit domainname.local
 
.local Domänen werden nicht mehr wirklich empfohlen. Hatte wohl den Hintergrund das man davon ausging es wird irgendwann vielleicht auch mal .local TLD offiziell geben könnte. Ansonsten kann ich dir aus Erfahrung sagen das man Best Practise sowieso Split-DNS führt und im Idealfall deine aus dem Internet erreichbare TLD zumindest als DNS Suffix als Userkonto hinzugefügt wird. Gegen deinen Vorschlag Eingehens spricht nichts, würde ich auch so machen weil es einem später offizielle CA Certs ermöglicht. Hättest du direkt deine TLD als AD Domäne genommen hättest du Probleme damit dass deine User eure offizielle Internetseite nicht erreichen, da dann die TLD auf den Domänencontroller auflösen würde.
 
Zuletzt bearbeitet:
holdes schrieb:
Ansonsten kann ich dir aus Erfahrung sagen das man Best Practise sowieso Split-DNS führt und im Idealfall deine aus dem Internet erreichbare TLD zumindest als DNS Suffix als Userkonto hinzugefügt wird.
Das kann ich ebenso bestätigen, ist nicht super lange so, aber schon 2-3 Jährchen wenn ich mich richtig erinnere.
 
  • Gefällt mir
Reaktionen: holdes
Das macht auch durchaus Sinn, sobald mal ein Exchange Server ins Spiel kommt können sich die User dann auch direkt mit ihrer Mailadresse statt ADNAME\USERNAME anmelden, macht VoIP, CTI, SingleSignOn usw. unendlich einfacher.
 
  • Gefällt mir
Reaktionen: Zensai
Momentane best practice ist:
a) öffentlich nicht auflösbare Subdomäne einer
b) Domäne die dir gehört

ad.domain.com ist ok wenn domain.com dir gehört und für immer dir gehört.

Wichtig: Wildcard DNS-Einträge á la *.domain.com die auf eine IP (meist Homepage) zeigen bedeuten dass ad.domain.com öffentlich auflösbar ist, und das sollte nicht sein.

.local TLDs sind nicht mehr empfohlen, weil Apple.

Man kann sich irgendeine Witz-Domäne + TLD überlegen, aber man sollte im Hinterkopf behalten dass diese TLD eventuell mal öffentlich gemacht wird.

Beispiel: .lokal
Ist mmt. nicht öffentlich, klingt aber wie eine TLD die mal öffentlich werden könnte, nech...

(.local TLD wird niemals öffentlich werden)

Hatte wohl den Hintergrund das man davon ausging es wird irgendwann vielleicht auch mal .local TLD offiziell geben könnte
Nee; da wird Microsoft gehörigst gegensteuern weil sonst ein oder zwei ADs auseinanderfliegen könnten ^^
 
  • Gefällt mir
Reaktionen: Don-DCH und holdes
Ich würde niemals eine "Fake" TLD für ein lokales AD oder eine lokale Domäne verwenden, das führt nur zu vermeidbaren Problemen (DNS, Zertifikate, Dienste, die mal öffentlich werden sollen).
Deswegen ist ja auch kein offizieller "privater" TLD-Namensraum, anders als es bei IP-Adressen der Fall ist, im Standard vorgesehen.

Selbst zu hause, wo ich gar kein AD betreibe (aber durchaus eine Domäne mit lokalen DNS-Suffix) verwende, benutze ich ein Split Brain DNS mit *.home.38h.de und habe dafür auch das passende WildCard Zertifikat von Let's Encrypt...
 
  • Gefällt mir
Reaktionen: holdes
Danke euch für eure zahlreichen Antworten!

Genau sowas wie dem *.DOMAINNAME.DE meinte ich, das habe ich gerade korriggiert. Danke dafür :)
Das ist mir garnicht aufgefallen, Hmm ist dadurch eine Sicherheitslücke entsanden? Die Clients haben ja den lokalen DNS Server wo auch der DC drauf ist eingetragen also wird die Anfrage garnicht ans Internet kommen oder?

Die Domäne gehört mir seit einigen Jahren und ich plane auch nicht diese herzugeben :)
Genau, dass mit local habe ich auch gehört sollte man nciht verwenden und möglichst eine Domäne die es wirklich gibt.

Aber genau die Fallstricke wie *.DOMAINNAME.DE möchte ich vermeiden, habe ich wie gesagt jetzt auch gemacht.
Der Vorteil von AD.ZZ wäre das es wirklich sehr kurz ist und es nie Porbleme geben wird, richtig?

Ein E-Mail Server ist auf gar keinen Fall geplant es geht nur um die Domäne die benötigt wird, aber nicht mehr.

Bietet abgesehen von E-Mail/Exchange eine echte Domain im AD weitere Vorteile?


Viele Grüße
 
Habe neue Erkentnisse.
Habe jetzt eine neue Testdomäne aufgesetzt DOMAINNAME.ZZ
Der Client wollte den Server absolut nicht finden. Hängt im klassichen Netz mit einer Fritzbox.
Dann habe ich, da alles virtuell, einem Privaten Switch zugeordnet, sprich Server und CLient . Zack wurde es erkannt.
Da das natürlich nicht die Lösung zu sein schien, da ich ja auch gerne Internet hätte :) Habe ich danach wieder die VMs ins Standard Netz geschoben und einfach mal IPV6 abgeschaltet bei Server und Client, siehe da es funktioniert.
Ich denke er versucht erst eine Authentifizierung über IPV6 der Domäne DOMAINNAME.ZZ anders kann ich es mir nicht vorstellen.

Da ich aber absolut keinen E-Mail Server etc benötige denke ich werde ich auf DOMAINNAME.ZZ umstellen oder gibt es da auch Fallstricke, ähnlich AD.DOMAINNAME.DE?

Ist das ganze dann trotzdem sauber?

Würde mich sehr über Rückmeldungen freuen :)

Viele Grüße
 
Eigentlich musst du nur bei der Fritzbox die Domain Controller als DNS eintragen. Alternativ bei den Clients manuell den DNS ändern.
 
Hmm, den DNS Server hatte ich bei dem Client bei IPV4 auf den AD Server geändert, trotzdem hat es leider nicht geklappt gehabt. Mit deaktiviertem IPV6 klappt es aber nun :)

Sollte ja mit DOMAINNAME.ZZ auch sauber sein da .AA und .ZZ soweit ich das verstehe ja dafür reserviert sind gell?
 
Zurück
Oben