win2k3 domäne + dns
 

hallo,

stehe vor der aufgabe eine neue win2k3 domäne aufzubauen, nun stellt sich mir folgende frage:

1. wie benenne ich die domäne damit ich keine probleme mit dem dns bzw. smtp bekomme - (ein exchange server wird lokal installiert, die homepage wird extern gehostet)?
domäne.local, domäne.com oder standort.domäne.com (=i-net domäne)

...irgendwelche tipps, was ich sonst noch beachten sollte?

hab leider schon die unterschiedlichsten antworten bekommen, deshalb wäre ich froh, wenn mich jemand etwas unterstützen könnte.

danke,
sven

also IMHO Geschmacksache und natürlich kommts auch darauf an, wie groß die Domäne wird.

Wirds ein "großer" Tree dann würd ich einfach einen Domänennamen und dann eben den einzelnen Standorten Subdomains geben (sofern das gewünscht und gefordert ist).
Ist alles nur in einer großen Domain, würd ich einfach Domainname.local (oder was dir auch immer Spaß macht) nehmen.

Hi!

Da häng ich mich auch gleich dran, da mich die Thematik auch interessiert.
Allerdings nicht mit einem Win2003 Server, bei mir soll's ein Samba werden.
Aber Domain bleibt Domain.

Meine bisherigen Erkenntnisse.
Windows 2000/XP Clients lösen Namen in der folgenden Reihenfolge auf:
1.) hosts file C:\Windows NT\System32\Drivers\etc.
2.) DNS lookup.
3.) NetBIOS name cache.
4.) WINS server.
5.) broadcast name lookup over UDP.
6.) LMHOSTS

Witzig sind ja die "erweiterten TCP/IP-Einstellungen" betreff DNS-Suffixe. :confused:

IMHO wäre die korrekte und durchschaubarste Vorgangsweise, als Domainnamen die Internet-Domaine zu verwenden mit einem korrekt konfigurierten lokalen DNS.

Kann man dann "Netbios über TCP/IP" deaktivieren? (hab's noch nicht ausprobiert)

... so long

Manx

wenn du NetBIOS über TCP nicht aktivierst, hast keine Datei und Druckerfreigabe - sprich keim SMB Protokoll.

In deiner Liste zur Namensauflösung (die ganz korrekt ausschaut - wobei ich es nicht auswendig weiß ;)) fehlt noch der DNS Cache, den jeder Client hat.
Löschen kann man diesen mit ipconfig /flushdns (wenn der Client ncoh eine gecachte Version hat, aber am Server schon was neues ist)

Wie soll man einen lokalen DNS "korrekt" mit einer offiziellen Domain konfigurieren.
Also ich würd das nicht machen. Die lokale Domain ist ja nur fürs lokale Netz - also würd ich die lokal und extern auch trennen.
Weil ich denke nicht, dass das eine saubere Konfiguration wäre.

Hi LLR & thx!

Dem mit "Netbios über TCP/IP" werd ich noch nachgehen. ;)

Was die DNS Konfig angeht, meine Begründung:

Ich hab z.B in einem kleinen Netz einen Web- bzw. Mailserver auf dem Inet-Gateway mit Paketfilter.
Hab ich jetzt im lokalen DNS den Mailserver nicht mit der internen Adresse, möchten die lokalen Clients immer von intern auf die externe IP des Gateway und das möcht ich nicht.

So, jetzt hab ich schon einen lokalen DNS und wenn die Winclients auch als erstes zur Namenslauflösung den DNS befragen, warum nicht gleich die offizielle Domain nehmen.

... ist aber nicht so wichtig, da ich mit dem Ausprobieren noch nicht so weit bin. Allerdings ist die Namensauflösung in Windows-Domains für mich ein spanisches Dorf, denn wie Microsoft im AD die einzelnen Dienste (DHCP, DNS usw.) verzahnt, ist ja irre :(

Ich möcht auf alle Fälle:
keinen WINS (obwohl ich den mit SAMBA vielleicht nicht vermeiden kann)
möglichst wenig Broadcasts

Danke

Manx

so jetzt muss ich da noch weiter nachfragen - wie das genau ausschaut:

Du hast einen Mailserver im lokalen Netz. Hat der eine externe Domain, die er "verwaltet"?
Wer is zuständig für diese Zone? DNS Server vom Provider oder welche von dir?
Detto die Frage beim Webserver.

Aus deinem Posting entnehme ich, dass du auch ein AD laufen hast - right?

Und die Clients sollen auf die interne Adresse des Mailservers zugreifen - oder?

So, ein paar Fragen, dass ich mir das ein wenig besser vorstellen kann. Mal schaun ob wir da auf einen grünen Zweig kommen. ;)

Hi!

Ich arbeite an einem Projekt ;)
Werden soll's ein Linux Samba PDC mit Benutzerverwaltung in OpenLDAP für Windows 2000/XP Clients.

Laufen hab ich monentan nicht's dergleichen bzw. eben nur Teile davon.

Momentan hab ich in einer Schule einen Mail/Web/Internetgateway. Der Windows 2003 Server geht mich (GottseiDank!) nichts an.

Folgendes Problem bestand:
Der Paketfilter am Mailserver, mit offizieller Domain, (der Webserver ist unwichtig, da nur Web-Administrationstools drauf laufen) wurde ursprünglich von mir so konfiguriert, dass er nur Zugriffe von intern ans interne Interface zuläßt.

Für die Workstations kein Problem Mailserver => 10.x.x.x

Allerdings kamen dann ein paar Laptop Benutzer daher, denen es auf die Nerven ging, immer die IP des Mailservers umstellen zu müssen (in der Schule die private IP, daheim => offizieller DNS-Name)

So hab ich halt am Paketfilter wieder herumgeschraubt und mir gedacht, dass sich das mit einem vernünftig eingerichteten DNS erübrigen würde.

Mein Projekt soll eine Gesamtlösung werden (DNS, DHCP, PDC, Web, Mail usw.auf Opensource) und da stell ich eben ein paar Überlegungen an, wie man's am besten und auch korrekt löst.

Grüße

Manx

einfach im DNS einen alias vergeben, zb "mailserver"?

Hi Irv!

Das beantwortet nicht die Frage von sven2002. ;)

In meinem Beispiel war das zuerst eine NT4 Domain. Dann kam eine ADSL-Anbindung über das Austrian School Network und die Notwendigkeit eines NAT Gateways dazu.

Somit hab ich das übenommen und gleich einen Mailserver mit draufgepackt.

Jetzt wurde umgestellt auf XP Clients und einen Windows 2003 Server und das haben KEINE Profis gemacht (und mich geht's ja nichts an).

Grüße

Manx

naja, dann müssten die User halt statt der IP diesen Alias eintippen - ich glaub nciht, dass er das will.

Aber eine nicht authorisierte Kopie der offiziellen Domain (wo also die gleichen Einträge sind wie am offiziellen DNS) würd ich auch nicht machen, nur damit man dann beim Hostname des Mailservers die interne IP eintragen kann.
Das is auch nicht wirklich sauber.

Es kommt halt darauf an, wie der NAT konfiguriert ist.

In der Schule wo ich gerade bin, ist der Router für ein paar externe Adresse zuständig - sprich das richtige Subnet wurde konfiguriert.
Wenn jetzt jemand aus dem internen Netz auf die externe Adresse eines z.b. Webservers will - kommt er bis zum externen Router (gehört immer noch zu unserem Netz) der sagt die IP gehört zu meinem Netz und leitet sie an den Rechner weiter.
Das ganze geht natürlich nur, wenn nach dem NAT Router noch ein weiterer Router hängt, der die offiziellen IPs "verwaltet".
Ich weiß nicht, wie das bei dir ausschaut, aber die Lösung finde ich eigenltich total fein und sauber.... :ja:

@MANXX: dazu fällt mir auch nicht mehr ein als Du & LLR schon gepostet haben.

also weiter bei dir (-:
"...von mir so konfiguriert, dass er nur Zugriffe von intern ans interne Interface zuläßt."

d.h. zugriff von "draussen" auf interne mail-server-ip ist möglich?

bzw: wieso greifen nicht alle clients (int- und extern) auf die externe zu?

Hi!

@LLR

> In der Schule wo ich gerade bin, ist der Router für ein paar externe Adresse zuständig - sprich das richtige Subnet wurde konfiguriert.
Wenn jetzt jemand aus dem internen Netz auf die externe Adresse eines z.b. Webservers will - kommt er bis zum externen Router (gehört immer noch zu unserem Netz) der sagt die IP gehört zu meinem Netz und leitet sie an den Rechner weiter.

... jop, so ca. ist es. Internet => Router vom ASN (mit 8 offiziellen Adressen) dann der NAT Router.
Nur gibt's keine sonstigen Rechner in dem Subnet, nur den Router und den NAT-Gateway. Deshalb ist's mit dem Mailserver so => Client möchte mail.xxx.at => aha, nicht im selben subnet => default-Gateway (NAT) => der NAT kriegt die Anfrage und sagt oops das bin ich ja selber.

Ich hatte den Paketfilter vielleicht etwas zu eingeschränkt konfiguriert.

... aber lassen wir das.

> Aber eine nicht authorisierte Kopie der offiziellen Domain (wo also die gleichen Einträge sind wie am offiziellen DNS) würd ich auch nicht machen, nur damit man dann beim Hostname des Mailservers die interne IP eintragen kann.
Das is auch nicht wirklich sauber.

... o.k überzeugt, also doch eine "bogus" Domain nehmen.

@Irv

> d.h. zugriff von "draussen" auf interne mail-server-ip ist möglich?

über VPN vielleicht :)

Brainstorming im WCM, das hat was ;)

Dank euch!

Manx

@MAXX

"...Nur gibt's keine sonstigen Rechner in dem Subnet, nur den Router und den NAT-Gateway..."

dann muss der request an den mailserver imho im nat richtig gerouted werden.

das denk ich mir auch grad.

Der NAT hat also ein Portforwarding für den Mailserver.

Also komm ich vom lokalen Netz zum NAT, von der Internen auf die Externe Schnittstelle. Der sagt die gehört mir und leitet das ganze dann wieder ins interne Netz (laut dem weitergeleiteten Port).

=> korrekt

Grüße

Manx

PS: es funktioniert ja auch prächtig

na dann passt ja eh alles. ;)

Und von dir vorgeschlagene DNS Lösung (was du ja schon wieder überdacht hast ;)) is sicher net so ideal.