Klaus1: DNS-Server mit externer Domain?

Hallo,

ich hab da mal eine html-fremde Frage:

Wir haben einen eigenen Windows-DNS-Server mit unserer eigenen internen Domain wir.de. Die nutzen wir ausschließlich intern. Extern, z.B. für unsere Server in der DMZ nutzen wir die Domain wir-gruppe.de. Für diese Domain haben wir ein offizielles Wildcard-Zertifikat.

Jetzt möchte ich einen internen Server, der auch nur intern erreichbar sein wird, auf HTTPS umstellen, also ein Zertifikat verpassen. Da wir für wir.de kein Zertifikat ausstellen können (im Internet gehört uns die Domain nicht), soll der interne Server unter meinserver.wir-gruppe.de erreichbar sein.

Damit die Clients diese Domain auf die interne IP-Adresse auflösen können, würde ich gerne den Eintrag unserem DNS-Server hinzufügen.

Ich dachte, einfach eine neue Zone für wir-gruppe.de und fertig, aber dann werden alle anderen Server unter wir-gruppe.de nicht mehr aufgelöst.

Kann ich nicht dem DNS-Server beibringen, dass er die Domains auflösen soll, die er kennt und alle anderen weiterleitet, auch wenn er für die Domain eine eigene Zone hat?

LG Klaus

  1. Tach!

    Wir haben einen eigenen Windows-DNS-Server mit unserer eigenen internen Domain wir.de.

    Für interne Geschichten sollte man keine fremden Domains nehmen, die einem nicht gehören und bereits in Nutzung sind. Das gibt nur Konflikte, wenn man diese fremden Domains wirklich mal erreichen muss. Zudem können Fehlkonfigurationen zu fehlgeleiteten Daten führen.

    Die nutzen wir ausschließlich intern.

    Dafür bieten sich andere Top-Level-Domains an. Offiziell reserviert sind .test, .example und .invalid, aber die sind eher nur für Beispiele geeignet, weil sie für einen Normalbetrieb zu abwegig klingen. Für meine eigenen Zwecke nutze ich .internal, auch wenn das in Zukunft mal von jemandem registriert werden könnte.

    Jetzt möchte ich einen internen Server, der auch nur intern erreichbar sein wird, auf HTTPS umstellen, also ein Zertifikat verpassen. Da wir für wir.de kein Zertifikat ausstellen können (im Internet gehört uns die Domain nicht), soll der interne Server unter meinserver.wir-gruppe.de erreichbar sein.

    Man kann für alles selbst signierte Zertifikate ausstellen. Man muss diese Zertifikate nur in der eigenen Infrastruktur als vertrauenswürdige Zertifikate hinterlegen.

    dedlfix.

    1. Hallo dedlfix,

      mein Brötchengeber verwendeten den Unternehmensnamen als TLD - den gibt's unter den sponsored TLDs noch nicht. "WIR" gibt's da auch noch nicht (wenn denn das Unternehmen so heißt und das kein Platzhalter war😂).

      Natürlich läuft man immer Gefahr, dass irgendwer den Namen registriert.

      Jedenfalls haben wir ein selbstgemachtes Root-Zertifikat für corp.***, dem alle Computer im Hausnetz vertrauen (wird über Policies sichergestellt), und dieses Zertifikat signiert alle internen Zertifikate für interne https Verbindungen.

      Sowas sollte für wir.de doch auch machbar sein; es setzt natürlich genug Kontrolle über die internen Computer voraus, dass man ein eigenes Root-Zertifikat verteilen kann. Die Domain wir.de ist eine Weiterleitung, wer unbedingt dahin will, kann lab-wir.de aufrufen. Und intern könnte man eine interne Homepage für wir.de machen und dort einen Link auf lab-wir.de unterbringen. Sobald wir.de extern wirklich aktiv wird, hat man natürlich verloren; besser wäre natürlich, statt wir.de eine interne TLD wie .wir zu verwenden.

      Einen TLD wie .invalid, .example oder .test würde ich keinesfalls verwenden, weil diese TLD ja auch im Intranet ihre Semantik behalten sollten. Und es könnte die internen Mitarbeiter verwirren, wenn sie die Intranethomepage über wir.test oder wir.example aufrufen sollen.

      Rolf

      --
      sumpsi - posui - obstruxi
    2. Hallo,

      Wir haben einen eigenen Windows-DNS-Server mit unserer eigenen internen Domain wir.de.

      Für interne Geschichten sollte man keine fremden Domains nehmen, die einem nicht gehören und bereits in Nutzung sind.

      das kann man nicht oft genug wiederholen.

      Die nutzen wir ausschließlich intern.

      Dafür bieten sich andere Top-Level-Domains an. Offiziell reserviert sind .test, .example und .invalid, aber die sind eher nur für Beispiele geeignet, weil sie für einen Normalbetrieb zu abwegig klingen. Für meine eigenen Zwecke nutze ich .internal, auch wenn das in Zukunft mal von jemandem registriert werden könnte.

      Mein Arbeitgeber nutzt für interne Dienste den Firmennamen mit der TLD .int, was ich auch ziemlich schräg finde.

      Wenn ich sowas einrichten sollte, würde ich vermutlich eine Subdomain unter der registrierten Domain wählen (also sowas wie intern.example.com). Die ist dann auch nur dem eigenen Nameserver im lokalen Netz bekannt.

      Live long and pros healthy,
       Martin

      --
      Klein φ macht auch Mist.
    3. Hallo,

      nunja, das war leider schon so, als ich dort angefangen habe und das jetzt noch zu ändern ist ziemlich aufwändig.

      Ich bin da auch nicht begeistert von und würde am liebsten einfach unsere eigene Domain nutzen, für die es eben auch ein gültiges Wildcard-Zertifikat gibt.

      Ein eigenes Root-Zertifikat auszustellen und dieses bei allen PCs auszurollen, ist möglicherweise der elegantere Weg, aber ich wollte wissen, ob man dem DNS-Server nicht doch beibringen kann, quasi so zu funktionieren, wie die lokale Hosts-Datei. Alles was da drin steht, wird ungefragt übernommen, ansonsten wird der DNS-Server gefragt.

      Ginge sowas denn, oder muss ich das doch komplett anders aufbauen?

      LG Klaus