Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: kolemjdoucí 13. 09. 2017, 09:47:24
-
Ahoj,
Nemáte někdo zkušenost s instalací exchange 2013 nebo 2016? Plánuji novou doménu na WinServeru 2016 (případně 2012 R2, podle toho co bude lepší), dále zmiňovaná exchange.
Co je podle vás lepší řešení? Potřebuji to v horizontu 5-8 let, vše poběží na VmWare, takže případná migrace na nové železo by neměl být problém.
Myslím si, že AD\DC na 2016 by neměl být problém a následná instalace EX2016 také ne.
Díky za vaše rady.
J.
-
Ahoj,
Nemáte někdo zkušenost s instalací exchange 2013 nebo 2016? Plánuji novou doménu na WinServeru 2016 (případně 2012 R2, podle toho co bude lepší), dále zmiňovaná exchange.
Co je podle vás lepší řešení? Potřebuji to v horizontu 5-8 let, vše poběží na VmWare, takže případná migrace na nové železo by neměl být problém.
Myslím si, že AD\DC na 2016 by neměl být problém a následná instalace EX2016 také ne.
Díky za vaše rady.
J.
Ještě mi došla jedna věc, doménu mám pojmenovat jako domena.cz nebo domena.local ; jedná se mi hlavně o certifikáty pro EX a nastavení autodiscover.
Díky :)
-
Ne, .local zcela určitě rozhodně v žádném případě ne.
-
Ne, .local zcela určitě rozhodně v žádném případě ne.
Nativní doména Windows zcela JISTĚ ANO .local, z ní se budou sestavovat UPN pro uživatele. Nastavit doménu .cz jako Windows doménu je špatně, už jen kvůli DNS - prostě to nefunguje.
Doménu .cz nastavíte pouze jako akceptovanou internetovou doménu pro Exchange.
Lol Phirae si asi zaměnil Windows doménu s internetovou doménou - to se někdy v hovoru plete.
WS2016 + EX2016 funguje dobře, jen prosím pamatujte, že Microsoft najel na novou politiku (ne)verzování, takže máte nárok jen na ten release, který zrovna zakoupíte. Pokud chcete průběžné updaty, musíte využít Software Assurance, nebo přejít do některých O365 plánů, které zahrnují licenci On Premises.
Že musí být oddělená instalace DC od Exchange je jasné, jen bych ještě doporučil, aby data Exchange byly na úplně jiném raidu. Na Exchange db je obrovský tlak na IOPS, a pokud to není oddělené, je to ke vzteku.
-
Jirsáku, když jsi debil, tak to nekomentuj a přečti si aspoň něco, co k tomu píše Microsoft.
https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx
Jinak .local je vyhrazená pro mDNS, čehož by si určitě už drahně let mohl všimnout i takový debil, jako jsi ty.
A nic jsem nezaměnil. Pokud potřebuješ něco pro interní použití co se neresolvuje zvenka, používá se v normální firmě (ne u Jirsáků) schéma jako corp.example.com, intranet.example.com apod.
-
Jirsáku, když jsi debil, tak to nekomentuj a přečti si aspoň něco, co k tomu píše Microsoft.
https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx
Jinak .local je vyhrazená pro mDNS, čehož by si určitě už drahně let mohl všimnout i takový debil, jako jsi ty.
A nic jsem nezaměnil. Pokud potřebuješ něco pro interní použití co se neresolvuje zvenka, používá se v normální firmě (ne u Jirsáků) schéma jako corp.example.com, intranet.example.com apod.
Takže si připravím DC s domena.cz ; ex2016 např. exchange.domena.cz ; když někdo z lokálu půjde na domena.cz, tak nastavím v DNS záznam na veřejnou IP adresu, aby se mohl podívat na firemní web (je to tak, že?)
-
Vy si provozujete pro domena.cz vlastní DNS servery přístupné zvenku? Pokud ne, asi bude podstatně jednodušší všechno mimo interní subdomény normálně forwardovat.
-
Vy si provozujete pro domena.cz vlastní DNS servery přístupné zvenku? Pokud ne, asi bude podstatně jednodušší všechno mimo interní subdomény normálně forwardovat.
domena.cz je úplně mimo interní síť, je u poskytovatele hostingu a DNS záznamy jsou směřovány přímo k poskytovateli.
Forwardovat myslíte lokálním DNSkem nebo veřejným DNSkem na veřejnou IP a následně NATovat na lokální IPiny?
Díky
-
Ono se to forwarduje samo, tam není v defaultním nastavení AD DNS potřeba dělat nic. Tak nějak nevím, kam ten dotaz dál směřuje.
-
Filip Jirsák a Miroslav Šilhavý jsou jedna a ta stejná osoba?
Jinak máš pravdu, .local se používalo dřív, dnes se tomu doporučují vyhnout.
Pouze se udělá pár úprav DNSka.
Dokonce se dá říct, že ta verze s .local byla rovnák na ohýbák a použití přímo .CZ je konečně správná.
defaultním nastavení AD DNS potřeba dělat nic.
No pro veřejné www vytvoříš A záznam, aby byl veřejný www server dostupný i zevnitř.
(Jen kaskadér provozuje WWW stránky ve své firmě, resp. pokud si to nemůže vysloveně dovolit).
Stejně tak je lepší i Exchange schovat za nějakou pračku (Linux s AV/Antispammem).
-
No pro veřejné www vytvoříš A záznam, aby byl veřejný www server dostupný i zevnitř.
Tak já předpokládám, že aktuálně řešíme situaci, kdy máme AD subdoménu cosi.domena.cz, kterou autoritativně řeší AD DNS servery. Cokoliv jiného se automaticky forwarduje jako jakýkoliv jiný dotaz typu neco.jinadomena.cz.
(Ano, pokud bych měl jako AD doménu pouze domena.cz, tak si musím ty záznamy směřující ven vyrobit v AD sám.)
-
Jinak .local je vyhrazená pro mDNS, čehož by si určitě už drahně let mohl všimnout i takový debil, jako jsi ty.
To jsem nevěděl, děkuji. Určitě je pak lepší jít podle doporučení.
-
Filip Jirsák a Miroslav Šilhavý jsou jedna a ta stejná osoba?
Není. Klidně se můžeme potkat, abyste se přesvědčil. Ale to je OT, a trochu nemístné od těch, kteří se nechtějí podepsat vlastním jménem.
-
U nás jsme to udělali tak že jsme si ve veřejném DNS koupili doménu int.services kterou ale používáme pouze uvnitř firmy. Stojí to pár šupů, je jisté že to nebude s ničím kolidovat a nezavíráme si tím cestu k tomu používat v budoucnosti třeba DNSSEC.
Pokud si vymyslíte vlastní lokální TLD tak vám nikdo nezaručí že za rok nebude veřejně registrovatelné = to potom přinese jenom problémy.
Pak taky není dobré používat hlavní doménu - máme tu jedno prostředí kde je doména (třeba firma.cz) použita jako doména pro AD kontrolery. Ve výsledku se to chová tak že z internetu se při zadání firma.cz dostanu na web prezentaci firmy ale v interní síti se po zadání firma.cz dostanu na web stránku doménového kontroleru. Fakt super. Silně nedoporučuji.
-
U nás jsme to udělali tak že jsme si ve veřejném DNS koupili doménu int.services kterou ale používáme pouze uvnitř firmy. Stojí to pár šupů, je jisté že to nebude s ničím kolidovat a nezavíráme si tím cestu k tomu používat v budoucnosti třeba DNSSEC.
Pokud si vymyslíte vlastní lokální TLD tak vám nikdo nezaručí že za rok nebude veřejně registrovatelné = to potom přinese jenom problémy.
Pak taky není dobré používat hlavní doménu - máme tu jedno prostředí kde je doména (třeba firma.cz) použita jako doména pro AD kontrolery. Ve výsledku se to chová tak že z internetu se při zadání firma.cz dostanu na web prezentaci firmy ale v interní síti se po zadání firma.cz dostanu na web stránku doménového kontroleru. Fakt super. Silně nedoporučuji.
A co nastavit na doménovém kontroleru A záznam pro firma.cz na externí IP?
-
A co nastavit na doménovém kontroleru A záznam pro firma.cz na externí IP?
Ano, to je opravdu hodně blbý nápad.