Vanaf 2000 was het advies om voor Active Directory een domeinnaam te kiezen die eindigt op .local, of in ieder geval afwijkt van de externe namespace. De tijd heeft intussen niet stil gestaan en dit wordt niet langer als best practice beschouwt. Bijvoorbeeld omdat we voor sommige applicaties SSL certificaten gebruiken waar eigenlijk zowel de interne als de externe namespace op moet staan. Certificate authorities zijn de afgelopen jaren massaal gestopt met het uitgeven van certificaten met een .local naam, omdat de aanvrager niet kan bewijzen dat hij eigenaar is van deze namespace.
Het advies voor Exchange-omgevingen is om zo min mogelijk namespaces te hanteren en bij voorkeur intern en extern dezelfde naam te gebruiken om Exchange-diensten op te bereiken. Voor organisaties die hun externe namespace nog niet in de interne DNS-servers geïntroduceerd hebben kan dit een behoorlijke impact hebben. Na het aanmaken van de DNS-zone in de interne servers moet je direct records aanmaken die ook in de externe zone staan, denk aan host records voor bijvoorbeeld www, portal of webmail.
Voor organisaties die de Exchange-namespace wel graag intern beschikbaar willen hebben maar zonder de hele zone te introduceren kan de DNS Pinpoint methode interessant zijn. Op deze manier wordt een naam als webmail.office365lab.com aangemaakt als een zone op zich, in plaats van de zone office365lab.com met daarin een host record voor webmail.
In dit geval wordt intern de zone domain1.local gebruikt:
De publieke namespace zijn webmail.office365lab.com en autodiscover.office365lab.com:
Beide hostnamen zouden we intern ook graag willen kunnen resolven en wel naar het VIP van de load balancer: 192.168.200.184. Dit doen we met de volgende commando’s op de Command Prompt:
dnscmd . /zoneadd webmail.office365lab.com. /dsprimary
dnscmd . /recordadd webmail.office365lab.com. @ A 192.168.200.184
dnscmd . /zoneadd autodiscover.office365lab.com. /dsprimary
dnscmd . /recordadd autodiscover.office365lab.com. @ A 192.168.200.184
Als we de DNS console verversen zien we twee nieuwe forward lookup zones met elk een (same as parent foler) record met het IP-adres 192.168.200.184:
Wanneer we op een interne client nu de IP-adressen opvragen voor bijvoorbeeld www.office365lab.com en autodiscover.office365lab.com dan zien we dat die laatste intern geresolved wordt terwijl het verzoek voor www.office365lab.com gewoon aan de externe DNS-server wordt doorgezet.
De DNS Pinpoint methode is een eenvoudige manier om intern en extern de zelfde namespace te kunnen gebruiken, zonder helemaal over te stappen op Split-DNS.
2 comments:
Interessante post. Ik heb dit in een lab ingericht met domain.nl
Dit lijkt inderdaad makkelijker te werken dan een .local
Nou is het inrichten van een nieuw domain natuurlijk prettig. Maar wat als je wilt migreren van een exchange 2007/2010 naar exchange 2013 met een .nl intern-domein.
Is dit goed te doen in de praktijk?
Gr.
Maurice
Dat is zeker een goed idee. Na het bouwen van Exchange 2013 breng je de client connecties namelijk naar 2013 door het DNS record aan te passen.
Post a Comment