Frage, physisches Linux virtualisieren

Ja, A Records für eine oder mehrere Subdomains einer normalen Domain ist wohl der Standard. Das geht auch mit privaten IPs (natürlich dann nur im Intranet). Wenn der DNS Server der Domain mit Let's Encrypt DNS Auth arbeiten kann, kann der Reverse Proxy auch SSL im Intranet machen (alternativ wären Port 80 und 443 des Hosts (für den Reverse Proxy) auch im Internet verfügbar. Aber das willst Du ja hier sicher nicht.

SSL nicht verwenden kannst Du im vorliegenden Fall vermutlich machen. Aber so viel mehr Aufwand ists auch nicht. Und Du hast halt dann https://intranet.meinedomain.de als saubere Adresse.
 
SSL im Intranet wird mehr oder weniger zur Pflicht, da sich SSL-Only bei immer mehr Browsern "zum Default" wird und spätestens, wenn intranet.$firma.$tld genutzt wird und man eine saubere SSL-Konfig für $firma.$tld im Internet hat meckern die meisten Browser, wenn die Subdomain kein SSL kann...
 
Ah... hier wird davon ausgegangen dass intranet.$firma.$tld verwendet wird... dies ist ein Trugschluss. Intranet läuft stumpf über "intranet", mehr nicht. Unsere interne Domäne ist auch ungleich der Firmen URL. Wir haben also nicht www.$firma.$tld als Webseite und $firma.$tld als lokale Domäne, somit würde intranet.$firma.$tld ebenfalls nicht funktionieren :)

Wie ich es bisher bei all meinen Kunden gesehen oder auch realisiert habe, ist unsere Domäne auch eine $firma.local Domäne.

Und wenn uns SSL intern mal um die Ohren fliegen sollte (was ich nicht glaube), wird erst einmal die Einstellung via GPO umgebogen. Aber aktuell hat unser externer Dienstleister der Pentests und Sicherheitsprüfungen durchgeführt hat, diesbezüglich nicht gemeckert.
 
$firma.local ist aber keine gute Idee, da diese für Multicast-DNS verwendet wird (siehe https://en.wikipedia.org/wiki/.local). Bei Microsoft war die Verwendung von .local in lokalen Fimennetzen mal eine Best Practise, mittlerweile rät Microsoft aber davon ab. Die Windows-Domäne bei uns wurde vor einigen Jahren auch mit der .local Endung angelegt, mit zunehmend mehr Macbooks in der Firma bereitet uns das immer mehr Kopfschmerzen. Nachträgliches Ändern ist immer problematisch, aber für die Zukunft solltest du darauf verzichten, da gibt es bessere Lösungen (siehe z.B. https://en.wikipedia.org/wiki/Special-use_domain_name)
 
Ist halt historisch gewachsen / entstanden. Die Domäne gibt es mit .local schon seit über 15 Jahren. Apple Geräte gibt es bei uns keine und wer eins haben will (es gibt Sonderfälle) die müssen selbst damit klar kommen.

Aktuelles Projekt von mir ist das Admin Tiering in Verbindung mit AD Security. Und da wir mit unserer .local Domain keine Probleme haben, sehen wir da aktuell keinen Handlungsbedarf. Aber gut zu wissen, dass es da zu solchen Problemen kommen kann.

Wobei ich generell immer ein Verfechter von .local Domain bin, um intern und extern zu trennen. Vielleicht wird das aber irgendwann mal in Angriff genommen, sollte es eine Umfirmierung geben oder die Domain generell umgestellt werden.

Nun könnte man auch mit Exchange etc. ankommen, aber dass fällt weg, da wir Groupwise im Einsatz haben :)

p.s. Interessant ist der Einwurf der .lan Domain. Das wäre sogar etwas für mich hier zuhause. Hab zwar keine AD, bestehend aus PDC etc., aber meinen Ubiquiti Geräten habe ich als Namen des Netzes auch immer privat.local gegeben. Vielleicht sollte ich das auch mal auf .lan umschreiben :)
 
Domi said:
Wobei ich generell immer ein Verfechter von .local Domain bin, um intern und extern zu trennen. Vielleicht wird das aber irgendwann mal in Angriff genommen, sollte es eine Umfirmierung geben oder die Domain generell umgestellt werden.
Click to expand...
Gegen die Trennung von extern und intern spricht ja auch nichts. Nur nimm dafür in Zukunft nicht mehr die .local Domain, da gibt es bessere Alternativen (.corp, .lan, .home, etc. - siehe RDC 6762 Appendix G) oder halt eine regulär registrierte offizielle Domain, die nur intern verwendet wird.
 
danton said:
halt eine regulär registrierte offizielle Domain, die nur intern verwendet wird.
Click to expand...
Eine Subdomain (klassisch .int.deinedomain.de) hat den Vorteil dass keine Applikation den Domainnamen als ungültig verwerfen will und -mit teilweise etwas Aufwand - auch Zertifikate von öffentlichen CA wie LetsEncrypt möglich sind.
 
Nun wird es hier aber ein "Round-House-Kick" was das Thema angeht :D

Aber ja, Thema Zertifikate hatte ich auch schon mal für den einen oder anderen Dienst angesprochen, warum wir da nicht LE verwenden. Wir haben ein gekauftes Wildcard Zertifikat welches immer zu einer bestimmten Urlaubszeit von einem Kollegen erneuert werden muss. Ich behalte das aber mal im Hinterkopf und würde das bei Gelegenheit mal in den Raum werfen. Vielleicht besteht da an gewissen Ecken ein Interesse :)

Wenn ich mal wieder ein neues Netz oder einen neuen Server bei einem meiner persönlichen Kunden aufbaue, greife ich zu den .lan Adressen, denke ich mal. Das finde ich allgemein schicker als .home, welches man für zuhause nutzen könnte, aber auch glaube auch dort würde ich dann eher zu .lan greifen :D

Schon mal vielen Dank für die interessanten Ansätze und Tipps.
 
Thunderbyte said:
Uff. Den alten Zombie gibts echt immer noch? :eek:
Click to expand...
Jop... ich muss sagen, ich finde das Teil ziemlich cool. Gefällt mir auf jeden Fall besser als Outlook. Wir machen gerade bei uns eine Migration zu Outlook und als ein Kollege das ganze präsentieren wollte, war Outlook ziemlich lahm, und irgend welche anderen Dinge gingen nicht. So wie ich es auch von anderen Anlaufstellen kenne.

Dagegen dreht Groupwise Kreise um das Teil :D

Will dem System aber auch keine Absolution erteilen, auch Groupwise wird Probleme oder Nachteile haben.
 
You must log in or register to reply here.
Back
Top