Re: Domain-Namen für lokale Netzwerke (war: Zugriff auf "geheime" Seiten)?
hi,
Am 7. März 2013 00:29 schrieb Martin Steigerwald <Martin@lichtvoll.de>:
>
> Am Mittwoch, 6. März 2013 schrieb Bjoern Meier:
> > hi,
>
> Hallo Bjoern,
>
> > Am 6. März 2013 19:42 schrieb Martin Steigerwald <Martin@lichtvoll.de>:
> > > Am Dienstag, 5. März 2013 schrieb Michael Stummvoll:
> > > > > wo kommt das eigentlich her? Das die Leute die mDNS-Domäne nutzen?
> > > > > Ich hab das häufig, wenn es mit Exchange Server knallt, die gerne
> > > > > mal mit der Standard-Konfiguration einliefern wollen.
> > > >
> > > > Wenn wir schon mal beim Thema sind:
> > > >
> > > > In einem rein lokalen Netzwerk mit DNS-Server, welche Domain
> > > > verwendet man da nun eigentlich richtigerweise für die Endgeräte?
> > > > rechnername.firmenname.de? Kann das nicht auch zu Irritierungen
> > > > führen, weil die Domain dann von aussen ja keiner auflösen kann,
> > > > obwohl es wie eine öffentliche aussieht?
> > > > Oder macht es Sinn, noch eine Ebene einzuführen, um zu "markieren",
> > > > dass es sich nur um eine Lokal zugänglichen Domain handelt, wie
> > > > rechnername.buero.firmenname.de oder rechnername.local.firmenname.de?
> > >
> > > Für mich privat nehme ich einfach "lichtvoll" ohne TLD hinten dran.
> > >
> > > Ja, das mag kein FQDN sein, Probleme hatte ich damit bislang jedoch
> > > noch nicht.
> >
> > Ok, das wäre für uns ein "No go!". Keine vernünftigen Zertifikate, einige
> > Dienste gingen nur nach ewiger Konfiguration oder gar nicht.
> >
> > Privat mag das hinhauen (wobei für mich - subjektiv - das schon eine
> > Disqualifizierung innerhalb meines Netzwerk-Verständnis wäre), aber mit
> > Unternehmenssoftware ist das nur sehr schwer machbar.
>
> Weder Postfix noch dnsmasq scheinen damit Probleme zu haben. Und da bin ich
> jetzt einfach mal pragmatisch. Ich mag den Namen und falls ich auf Probleme
> stoße, kann ich das immer noch ändern.
>
> Und ich schrieb ja: Für mich privat. Weiterempfohlen habe ich es nicht.
>
> Abgesehen davon bin ich nicht mal komplett sicher, ob
>
*seufz* ich mag diese Diskussion nicht, vor allem da ich sie beruflich
häufig führen muss. Natürlich nicht dein Fehler. Natürlich hat Postfix
kein Problem damit. Darum geht es auch nicht. Problematisch wird es,
wenn du versuchst einzuliefern, viele Dienste schützen sich vor Zombie
und es gibt einen einfachen Trick bei Postfix: alles ablehnen was
keinen öffentlichen IP-Eintrag hat.
unter http://www.postfix.org/postconf.5.html#smtpd_client_restrictions
reject_unknown_client_hostname Bei uns sind unter anderen die
täglichen Einlieferungen damals von 12K (jap, ist tatsächlich so
wenig) auf 1K runter gegangen und 50% allein wegen dieser Regel.
Natürlich kann ich Postfix anweisen, die öffentliche IP-Adresse zu
nutzen, kein Problem. Ich muss das nicht, ich spar mir das einfach.
Falls Bedarf suche ich dir gern die RFCs für SMTP (snd einige) raus.
Besser wäre für dich, dies selbst zu tun. Du scheinst ein wenig
Nachholbedarf zu haben. Ist nicht böse gemeint, fiel mir nur auf und
den Bedarf hatten wir alle und habe ich in vielen Bereichen sowieso
auch.
>
> hostname.lichtvoll.
>
> nicht sogar als FQDN Hostname durchginge wie sowas wie "heise.de" oder
> "hostname.local" halt auch.
Ja ginge er, als root-DNS. Es ist also der FQDN für die Domäne, nicht
für den Host.
>
> Auszug aus resolv.conf (5), deutsche Übersetzung, die in Bezug auf diese
> Option aktuell zu sein scheint.
>
> search Suchliste für Rechnernamen
> Die Suchliste für die Namensauflösung wird in der Regel
> aus dem Namen der lokalen Domain abgeleitet und enthält
> standardmäßig nur diesen Namen. Dieses Verhalten kann
> geändert werden, indem mit dem Schlüsselwort search ein
> Suchpfad für die Domain-Auflösung angegeben wird, dessen
> Bestandteile durch Tabulatoren oder Leerzeichen vonein‐
> ander zu trennen sind. Anfragen an den Resolver mit
> weniger als ndots Punkten (Standardwert ist 1) werden
> versuchen, jeden Eintrag dieses Suchpfads abzuarbeiten,
> bis ein gültiger Namenseintrag gefunden wurde. Für Umge‐
>
>
> Auszug aus englischsprachiger Wikipedia¹:
>
> The DNS root domain is unnamed, which is expressed by an empty label,
> resulting in a domain name ending with the dot separator. However, many DNS
> resolvers process a domain name that contains a dot in any position as being
> fully qualified[note 1] or add the final dot needed for the root of the DNS
> tree. Resolvers process a domain name without a dot as unqualified and
> automatically append the system's default domain name and the final dot.
>
> Dann würden Dienste / Anwendungen eventuell lichtvoll als TLD angesehen. Das
> könnte eventuell irgendwelche komischen Wirkungen haben… Kann ich mir aber
> nur schwer vorstellen, da ich kaum glaube, dass die gültigen TLD irgendwo
> hart verdrahtet sind. Meinungen dazu?
Ah, as I said. Zu deiner Frage: http://de.wikipedia.org/wiki/Root-Nameserver
> Ich wäre nichtmal sicher, ob es mit Diensten wie NFS oder Zertifikaten
> wirklich Probleme geben würde.
Wie du schon geantwortet hast. Ja, Wildcard-Zertifikate. Ist preislich
ein geringer Unterschied.
Ich finde diese Diskussion tatsächlich äußerst fruchtbar. Ich habe
neuen Input bekommen und habe ein mindmapping von Sub-Domänen für
unsere Strukturen erstellt.
Danke nochmal.
> [1] http://en.wikipedia.org/wiki/FQDN
>
> Ciao,
> --
> Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
> GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
>
>
> --
> Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
> mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
> Archive: [🔎] 201303070029.55520.Martin@lichtvoll.de">http://lists.debian.org/[🔎] 201303070029.55520.Martin@lichtvoll.de
>
Reply to: