DNS-Zonen in großem Firmennetzwerk mit Filialen (subdomains)

[pangu]

Hi Leute,

kennt jemand ein gutes Tutorial zu DNS-Setup wenn es um größere Strukturen gehen soll. Also z.B. wenn man einen Hauptsitz in Deutschland hat und mehrere Filialen. Ich denke da macht es Sinn jede einzelne Filiale eine eigene Subdomain zu geben, oder? Die Filialen werden über Standleitungen, bzw. VPN angebunden an die Zentrale. Wie würde man so etwas machen? ich will das mal in einer virtuellen Umgebung ausprobieren *neugier*

- Ich habe eine Hauptdomain meinefirma.com, genauso aber auch meinefirma.de Ich denke ich würde meinefirma.com als webseite wählen und eine Weiterleitung von der .de Domain auf die .com Domain legen. Also Basis soll .com sein.
- alle eMail-Adressen sollten das Format max.mustermann@meinefirma.com haben, aber evtl. auch hier eine Weiterleitung von max.mustermann@meinefirma.de an max.mustermann@meinefirma.com legen (virtual domain alias?)
- Die angebundenen Filialen sollen z.B. lauten hamburg.meinefirma.com, münchen.meinefirma.com

Oder sollte ich (da z.B. der Sitz in Deutschland) lieber die .de als Basis nehmen? Wie komplex ist sowas, nach welchen Kriterien plant man so etwasu und vor allem wie wird das konzeptioniert? kennt jemand gute Einsteigerlektüre oder HowTos im internet? Bin für jeden Tip dankbar.

[hec_tech]

Fangen wir mal an jede Domain ist eine Zone. Für die Weiterleitungen im Web nimmst du CNAME Records. Für Subdomains erstellst du einfach A bzw AAAA Records je nachdem ob es sich um ipv4 oder ipv6 handelt. Die Mail Subdomains kannst du einfach über MX Records definieren.

Als DNS Server würde ich dir zu Powerdns raten. Für die Verwaltung kannst du das Poweradmin Interface verweden.
Das eine ist die Sicht vom DNS her nur der Rest der Infrastruktur ist das größere Problem. Routing der Mails sei hier nur erwähnt. Hat jeder Standort seinen eigenen Mailserver oder soll ein zentraler Mailserver verwendet werden?

[Cae]

Zuallererst solltest du dich fragen, wofür die Subdomains gut sind. Für die interne administrative Verwaltung, für schöne und übersichtliche Konfigurationen? Sollen die Filialen eigene Web-/Mailserver haben, die öffentlich angesprochen werden?

münchen.meinefirma.com

Das würde ich bleiben lassen. Umlaute sind schön und gut, klar gibt es Punycode [1], aber wo es keinen drigenden Bedarf gibt, nimm' a-z0-9\- für Domainteile.

Oder sollte ich (da z.B. der Sitz in Deutschland) lieber die .de als Basis nehmen?

.com heißt, dass ihr in irgendeiner Form komerziell tätig seid. Eine typische Firma tut nix anderes, deshalb würde ich .com nehmen. .de hat als geographische TLD natürlich auch ihre Berechtigung.

Gruß Cae

[1] https://de.wikipedia.org/wiki/Punycode

[pangu]

sorry, das mit dem Umlaut hat sich jetzt im Eifer des Gefechts eingeschlichen das würde ich natürlich nicht nehmen versteht sich. Also folgendermaßen:

momentan gibts einen zentralen Mailserver (postfix + domino). Vielleicht krieg ja dann jede Filiale einen eigenen Mailserver. Die Subdomains sollten meiner Meinung nach eine Übersichtlichkeit und aufgeräumte Verwaltung bieten. Es kann ja strikt getrennt werden zwischen den einzelnen (Sub-)domains.

Ich denke ich werde meinen PDC (Samba) mit meinefirma.com einrichten wenn's so ist. PowerDNS sagt mir nichts, ist das eine Art Frontend, mit welchem man DNS komfortabel einrichten kann? kennt ihr gute Tutorials, die so ein Setup beschreiben und erklären?

[maltris]

Fangen wir mal an jede Domain ist eine Zone. Für die Weiterleitungen im Web nimmst du CNAME Records. Für Subdomains erstellst du einfach A bzw AAAA Records je nachdem ob es sich um ipv4 oder ipv6 handelt.

Berichtige mich wenn ich falsch liege, aber CNAME nutzt man doch nur wenn man nicht direkt auf die IP weiterleiten möchte.
In dem Fall ist das Ganze doch ziemlich festgelegt und wird nicht oft geändert.

Weiterhin muss man sich nicht zwischen A oder AAAA entscheiden, sondern kann getrost beides nutzen. So gibt man IPv6-habenden die Möglichkeit über IPv6 zu sprechen und den IPv4-besitzern entsteht kein Nachteil.

Grüße

[hec_tech]

Ja schon klar wenn man Dualstack fahrt vergibt man beide. Ein Cname zeigt eben auf einen A Record. Ist sicherlich ab und zu notwendig. Bei meinem Mailserver habe ich den A Record mai-00.domain usw
Als Cname kommen dann smtp, pop, imap usw zum Einsatz die auf mail-00.domain zeigen.

[pangu]

Kann vielleicht noch jemand unter euch ein detailliertes Tutorial (am liebsten auf deutsch, aber englisch geht auch) für ein Firmen Setup nennen? kennt ihr da was Gutes? Muss nicht zwangsweise auch mit Secondary NS sein, wäre aber nicht schlecht. Hauptsache es wird anhand Debian Squeeze, also BIND9 beschrieben.

[TRex]

Ich glaub kaum, dass es für sowas ein "Tutorial" gibt, da sich das dann Expertenwissen nennt und bevorzugt als Administrator verkauft wird. Was du finden wirst, ist allgemeine Dokumentation über DNS und Dokumentation zu bind9 (oder powerdns), mit denen du dann die erlernten Grundlagen realisieren kannst.

Zu deiner Emailgeschichte ist mir noch was theoretisches als Ansatz eingefallen...ein zentraler Mailserver nimmt die Mails an und delegiert sie anhand statischer Tabellen an die hamburg.meinefirma.de Mailserver weiter. Das macht vor allem dann Sinn, wenn ein einzelner Mailserver mit dem Zugriff der Mitarbeiter überfordert ist und diese sich dann wegen der miesen Geschwindigkeit beschweren (ggf. auch anbindungsbedingt).

[hec_tech]

Hier hast du für PowerDNS ein howto. Datenbank ist austauschbar. Ich verwende so ein System mit PostgreSQL.
http://www.howtoforge.com/installing-po ... an-squeeze
Eventuell noch den powerdns-recurser installieren.
Bei PowerDNS hast du den Vorteil, dass du beliebig viele NS betreiben die immer auf dem gleichen Stand sind. Im Hintergrund läuft eine Datenbank wo es zwar nur einen Master gibt der schreiben kann aber ein paar Slaves. Der Master schreibt die Daten erst wenn sie von mindestens einem Slave repliziert worden sind. Somit brauche ich mich auf DNS Seite nicht um die Replikation der Daten kümmern.
Der Poweradmin tut seine Sache gut. Das Design ist eine andere Sache.
Die Records musst du nach Bedarf eintragen. Da können wir dir echt nicht helfen.
Beim Mailserver gibt es verschiedenste Ansätze. Da wir nicht wissen um welche Anzahl von Mails es hier geht kann man dazu nichts Sagen. Ein anderer Punkt sind die Anbindungen der Zweigstellen.
Mein Vorschlag sind 2 MX Server. Diese machen gleich Spamabwehr wie postgrey und backlists sowie Amavis danach per LMTP weiterreichen an die Zuständigen Mailserver. Die Zweigstellen sollen alle Mails über 2 MX senden. Ich nehme mal an Authentifizierung geschieht über einen Verzeichnisdienst. Man könnte die DNS Zonen auch im Verzeichnisdienst speichern.

[pangu]

Moin hec_tech und danke für den Link,

den Mailserver lassen wir erstmal aus. Da sollen dann tatsächlich an den Filialen eigene Mailserver betrieben werden, wird alles auf postfix und Lotus domino hinauslaufen. Mir gings jetzt erstmal um die Basis-Struktur, sprich DNS. Ein andrer wichtiger Punkt ist auch die Subnet-Geschichte, DMZ-Zonen, etc... da muss ich mir auch noch was überlegen, wie ich das verteile. Danke dir soweit. Ich werde mir PowerDNS genauer ansehen.

[hec_tech]

Bei den Subnetzen schau dass du überall ausreichend Platz hast. Bedenke auch IPv6. Für Routing/Firewall kann ich dir die Pfsense ans Herz legen. 2 Stück davon und du kannst die Firewall HA fahren. Denk auch an die VPNs. Welche VPNs sollten verwendet werden. Die Tunnel brauchen auch IP Adressen. Eventuelles Routing musst du auch berücksichtigen. Dann eben die einzelnen Abteilungen und Standorte in einzelne Netze trennen. Server gehören auch in ein eigenen Netz. Alle Server nur mit einer Internen IP ausstatten. Externe IPs haben nur die Firewall. Für Server die mit einer bestimmten IP ins inet müssen gibt es dann 1:1 Nat. Das ganze ist aber echt ein sehr großes Gebiet. Da kann man stunden darüber sitzen. VoIP braucht auf jeden Fall sein eigenes VLAN und sollte auch eine bestimmte Bandbreite bekommen.

[pangu]

Wegen den Subnetzen überlege ich noch, ob ich Segmentierung durchführen soll oder nicht. Ich habe insgesamt 500 Hosts unterzubringen, darunter zählen ca. 50 Server, 250 Arbeitsstationen, 70 WLAN Stationen (nicht für Gäste, sondern gehören zum LAN um Dienste zu nutzen), und ca. 100 Netzwerkdrucker. Ob ich nun ein einziges Netz verwende aus dem Class-B und einer Netzmaske von 21, oder doch mit einzelnen 24bit-Netzen und Layer3-Routern segmentiere, ist noch in den Sternen geschrieben. Anregungen sind gerne willkommen.

Als Firewall wird bereits IPFire eingesetzt, hatte irgendwann IPCop abgelöst. Die macht auch OpenVPN-Server, und steht mit mehreren eingebauten NICs in der DMZ (10.0.0.0/24). VLANs habe ich noch nicht im Einsatz, VoIP auch nicht. VLAN-Tagging ist ja interessant, aber ich würde das gerne auf einer tieferem Layer schon behandeln, und nicht erst durch VLAN-Tagging.