[win2k] Domein naam voor server - Serversoftware en clouddiensten

donderdag 6 juni 2002 10:12

Acties:

Topicstarter

Wij zijn bezig met het opzetten van een intern netwerk.

Wij hebben 2 domeinen die niet bij elkaar mogen komen. Daarom hebben we de volgende structuur:

code:

            (isa server) 
              /  \
             /     \
            /        \
             /       \
            /          \
         (leerling)     (administratie)

Zo zit het nu met NT4, dat werkt allemaal perfect, maar de servers zijn toe aan vervanging en er komt een lokaal met win2k clients bij. Ook met oog op de "quotum" functionaliteit hebben we besloten om 2k servers op te zetten.

Het probleem is de domeinnaam van de isaserver de leeringserver en de administratie server.

Op dit moment laten we het domein "yyy.nl" hosten bij kennisnet. Later willen wij misschien dit allemaal zelf gaan regelen, wellicht met een ander isp, lokaal op onze server.

Nu hebben wij verschillende meningen over de naamgeving van de server. Waar we het wel over eens zijn is dat de domein naam van leering/admin een subdomein moet worden van het domein van isaserver.

Nu kunnen we 2 dingen doen, of isaserver de domein naam "yyy.nl" geven of "yyy.local". Het probleem is dus dat we hier niet uitkomen omdat we nu NOG niet hosten, maar dit in de toekomst wel gaan doen.

De vraag is dus: Moet je je interne-domeinnaam gelijk maken aan de externe-domeinnaam?? En waarom??

We hebben veel informatie gelezen en daar staat in dat je de naam nooit meer kan wijzigen, dat betekent dat we dan alle servers opnieuw moeten installeren, daar hebben we geen zin in, dus willen we het goed voorbereiden.

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q296250 Hier staat ook wel informatie maar niet de voor/nadelen van alle mogelijkheden.

donderdag 6 juni 2002 12:12

Acties:

Verwijderd

microsoft zelf raad het wel aan.

Ook ivm mail adressen etc. die dan allemaal overeen komen met met username's etc.

Ook raden ze aan niet te veel domeinen te maken, maar te werken met OU's.

Het valt met OU policies allemaal mooi dicht te timmeren.

Waarom zou je trouwens niet .nl gebruiken?

donderdag 6 juni 2002 13:13

Acties:

RedRose

Icebear

Op donderdag 06 juni 2002 12:12 schreef arjo_kamp het volgende:
microsoft zelf raad het wel aan.

Ook ivm mail adressen etc. die dan allemaal overeen komen met met username's etc.

Ook raden ze aan niet te veel domeinen te maken, maar te werken met OU's.

Het valt met OU policies allemaal mooi dicht te timmeren.

Waarom zou je trouwens niet .nl gebruiken?

Hier ben ik het helemaal mee eens. Daarnaast zou je leerling-groepen ook een ander subnet kunnen geven dan de administratie-groep. En door de groepsrechten goed toe te passen kun je er voor zorgen dat leerlingen niet bij de administratie kunnen komen.

Zo kan je dus houden 1 domeinnaam, wat in deze opstelling inderdaad wel aan te raden is.

Sundown Circus

donderdag 6 juni 2002 13:25

Acties:

Concrete

Just press the button...

Het artikel dat je hierboven zelf aanhaalt is er imho vrij duidelijk over: gebruik yyy.local.
Tevens sluit ik me aan bij de posts hierboven: gebruik voor het scheiden van leerlingen en administratie OU's i.p.v. subdomeinen. Daarmee haal je je het minste werk op de hals!

Beton is koel. Een Alpha is koeler.

donderdag 6 juni 2002 13:54

Acties:

Verwijderd

Op donderdag 06 juni 2002 13:25 schreef Concrete het volgende:
Het artikel dat je hierboven zelf aanhaalt is er imho vrij duidelijk over: gebruik yyy.local.
Tevens sluit ik me aan bij de posts hierboven: gebruik voor het scheiden van leerlingen en administratie OU's i.p.v. subdomeinen. Daarmee haal je je het minste werk op de hals!

waarom .local dan?

Microsoft adviseert zelf om zoveel mogelijk hetzelfde te houden, puur voor de overzichtelijkheid.

dus als je bedrijf pietje heet, en ze hebben een homepage pietje.nl , dan moet je FQDN voor active directory ook pietje.nl zijn.

Child domains niet doen, tenzei je er gegronde redenen voor hebt.

donderdag 6 juni 2002 14:30

Acties:

Verwijderd

Op donderdag 06 juni 2002 13:54 schreef arjo_kamp het volgende:

[..]

waarom .local dan?

Microsoft adviseert zelf om zoveel mogelijk hetzelfde te houden, puur voor de overzichtelijkheid.

dus als je bedrijf pietje heet, en ze hebben een homepage pietje.nl , dan moet je FQDN voor active directory ook pietje.nl zijn.

Child domains niet doen, tenzei je er gegronde redenen voor hebt.

pietje.nl is _GEEN_ FQDN hoor.

donderdag 6 juni 2002 18:11

Acties:

Arno

PF5A

Op donderdag 06 juni 2002 13:54 schreef arjo_kamp het volgende:
waarom .local dan?

.local of .lan is beter, omdat je anders het risico loopt met een foute DNS implementatie dat je interne zones op internet komen te staan.

dus als je bedrijf pietje heet, en ze hebben een homepage pietje.nl , dan moet je FQDN voor active directory ook pietje.nl zijn.

MOET niet, zie hierboven waarom. Ik heb wel eens een school gemigreerd met een vergelijkbare opzet. Gewoon de ISA in je admin domain plaatsen en een los studenten domain maken. Je kunt zonder problemen een derde nic in de ISA bouwen en die koppelen aan je studenten net. Zolang je geen rras op je ISA installeert (alsof je dat uberhaupt doet) kunnen de studenten nooit in het admin domain komen. Als je een enkelzijdige trust opzet tussen de domains kun je zelfs de studenten accounts toegang geven tot de ISA en internet. Ook hier loop je geen gevaar op leerlingen op je administratie netwerk.

Op donderdag 06 juni 2002 14:30 schreef Felix het volgende:
pietje.nl is _GEEN_ FQDN hoor.

True, isa.pietje.nl weer wel

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 6 juni 2002 18:42

Acties:

mEdnass

Hoi, ik ben de andere persoon in de 'wij' waar Joost zijn post mee begint.

We hebbben een aantal dingen tegen elkaar afgewogen en zijn gegaan voor de OU oplossing. Nu hebben wij ook verantwoordelijkheid af te leggen aan de 'echte' systeembeheerders die in eerste instantie een beetje huiverig waren over het idee de twee domeinen samen te voegen. Zit er een verschil tussen OU's en domeinen mbt het beveiligen van bestanden/computers? Met andere woorden: Zijn domeinen nou echt veel veiliger of juist niet?
En kan een zelfde situatie niet 'gewoon' met globale groepen gemaakt worden?

De situatie gaat als volgt worden:

code:

DC#.yyy.local
     |
     |-- iproxy.yyy.local
     |   (isa server)
     |
     |-- files.yyy.local
     |
     +-- node###.yyy.local
       (alle WORKSTATIONS van admin. en leerlingen)

Wat betreft de kwestie yyy.nl of yyy.local is blijkbaar tegenstrijdige informatie te vinden.

In bovenstaande situatie is 'iproxy' géén DC en is nu alleen nog maar client bij de Active Directory. Een DNS kun je daar ook op installeren en zones laten beheren die comleet niks te maken hebben met het AD-domein yyy.local

Correct me if I'm wrong

Door arjo_kamp - donderdag 06 juni 2002 12:12
microsoft zelf raad het wel aan.
Ook ivm mail adressen etc. die dan allemaal overeen komen met met username's etc.

De evt te installeren mailserver kun je toch nogsteeds client maken van het AD-domein? Daardoor zijn alle gebruikersnamen toch op te zoeken door de mailserver?

Traag, je hebt het over isa in het admin domein... Is het dan niet gewoon handiger deze een eigen losstaand(niet boven of onder) domein te geven?
En in win2k waren alle trusts tussen domeinen toch bidirectioneel én transitief?
Wat betreft die derde NIC, en eigenlijk de rest van je verhaal; Het oude NT4 netwerk zit ongeveer zo inelkaar, ook met zo'n enkelvoudige trust. Het werkt wel, maar in de situatie als in de tekening hebben we iig al het domeinbeheer gecentraliseerd... IMO is dat ook wel handig...

donderdag 6 juni 2002 18:56

Acties:

Arno

PF5A

Qua security enzo doen OU's niets, met OU's maak je je beheersmodel na in de AD. Als je dus je docenten en studenten in hetzelfde domain maar in verschillende OU's plaatst, keijg je dus je studenten in je administatieve net en ik weet zeker dat OMO² dat niet zal goedkeuren.

²_{OMO is een overkoepelende organisatie}

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 6 juni 2002 19:49

Acties:

mEdnass

Ik begrijp dat OU's in het leven zijn geroepen om orde in de computers- en gebruikerschaos binnen een domein te scheppen.
Als ik me niet vergis(ga het zo ff checken) kun je op een hele OU een apart beleid laten gelden, zodat leerlingen bijvoorbeeld nooit fysiek in kunnen loggen op een computer van de administratie.

Verder valt er toch qua file-,share,- map- etc. permissies genoeg -zij het niet alles- dicht te timmeren om gebruikers alle mogelijke toegang tot deze te ontnemen?

Op donderdag 06 juni 2002 18:56 schreef Traag het volgende:
[..]²_{OMO is een overkoepelende organisatie}

En zeep

Maar wat doet die 1e OMO dan, moet ik een systeemontwerp bij hen overleggen? Dit is AFAIK nog nooit gebeurd bij het oude netwerk...

donderdag 6 juni 2002 20:01

Acties:

Arno

PF5A

OU's zijn om voor delen van gebruikers een bepaalde policy te laten gelden, zoals in NT4 met NTconfig.pol

Op donderdag 06 juni 2002 19:49 schreef mEdnass het volgende:
En zeep Maar wat doet die 1e OMO dan, moet ik een systeemontwerp bij hen overleggen? Dit is AFAIK nog nooit gebeurd bij het oude netwerk...

Nee, Ons Middelbaar Onderwijs ofzo

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 6 juni 2002 21:55

Acties:

EdwinW

Als je in de organisatie van plan bent om met je eigen domeinnaam toegang te bieden door bijvoorbeeld een eigen mailserver of intranetserver op internet, dan moet je een external namespace gebruiken (een domeinnaan die vanaf internet toegankelijk is zoals www.yyy.nl). "yyy.local" of "yyy.lan" vallen in dat geval dan af.

Als je van plan bent verschillende "policies" te implementeren voor wat betreft wachtwoord-lengte en expiratieduur, dan moet je twee domeinen hebben. Scholieren en personeel zouden verschillende policies op gebied van wachtwoorden kunnen hebben.

Met DNS zones kun je vervolgens de zaak afschermen zodat er geen verwarring is tussen de interne zone (lokaal netwerk) en de externe zone (internet). Door verschillen OU's te gebruiken, kun je een scheiding maken tussen scholieren en personeel.

Zie voor uitgebreide informatie (DOEN!): http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/plan/actdirds.asp