Captain's Checklist: Domeinen in Google Workspace • Cloud Captains

Voordat we beginnen

Hallo 👋🏻,

Mijn naam is Patrick, oprichter van Cloud Captains, een Nederlandse Google Partner gevestigd in Den Haag.

Wij bij Cloud Captains geloven dat kennis gedeeld moet worden en dat het wiel niet opnieuw uitgevonden hoeft te worden. Ook geloven wij dat er aan bepaalde standaarden voldaan moet worden om een veilige IT-omgeving te garanderen.

Met alle kennis die Cloud Captains in huis heeft, was het een makkelijke beslissing om een serie te creëren over security, best practices en oplossingen in Google Workspace, de Cloud en Google ChromeOS. Getiteld “Captain’s Checklist” oorspronkelijk in het Engels.

In deze serie willen we Google beheerders helpen hun Google omgevingen zo veilig mogelijk te houden en de informatie te geven om dit zelf te doen met minimale kennis.

Als Google Partner vinden wij dat de omgevingen van onze klanten aan bepaalde standaarden en eisen moeten voldoen, zodat iedereen rustig kan slapen en zich geen zorgen hoeft te maken over specifieke instellingen of what-if scenario’s.

Dit document focust zich op domeinen in Google Workspace en de basis instellingen.

Ik hoop dat het je verder helpt in je reis en wens je al het beste. Als je een afspraak wilt inplannen, kun je dat doen via deze link.

Inhoudsopgave

Captain’s Checklist

Waarom deze Captain’s Checklist?

Cloud Captains is een Nederlandse Google Partner voor Google Workspace, Google Cloud en Google ChromeOS. Naast het leveren van licenties (met korting), advies, training, applicatieontwikkeling en consultancy, bieden we ook een uitgebreide Google Workspace Security Checklist.

Als Google Workspace Partner zien we vaak dat de algemene beveiligingseisen van de Google Workspace omgeving van een organisatie niet voldoen aan de specificaties van deze tijd.

Door deze Captain’s Checklist te maken hopen we beheerders verder te helpen om en ervoor te zorgen dat de omgeving veiliger is dan voor deze Captain’s Checklist.

Geven jullie ondersteuning op deze Captain’s Checklist?

Nee, Cloud Captains ondersteunt alleen klanten van Cloud Captains. Wij zijn de Google Partner voor onze klanten om hen verder te helpen in hun Google-traject en een om langdurige relatie op te bouwen, het is voor ons niet interessant om maar één keer te helpen. Klant zijn van Cloud Captains heeft echter wel zijn voordelen.

We raden je aan om alle instellingen die je wilt aanpassen of toepassen eerst te testen en te controleren op een testdomein of test-OU om er zeker van te zijn dat het de dagelijkse workflow niet verstoort. Wij nemen geen verantwoordelijkheid of aansprakelijkheid voor de wijzigingen die je aanbrengt in je Google omgeving.

We geven het beste advies dat we kunnen, maar dit kan in de loop van de tijd veranderen, en instellingen, licentievereisten en andere factoren kunnen veranderen en daar zijn wij niet verantwoordelijk voor.

De complete (security)assessment

~~Ben je geïnteresseerd in een complete assessment van je volledige Google Workspace omgeving, die wij zullen controleren en je zullen begeleiden bij mogelijke verbeteringen?~~ Dit is alleen beschikbaar voor klanten van Cloud Captains.

Het is mogelijk om klant te worden van Cloud Captains; we selecteren en kiezen echter zorgvuldig welke klanten aansluiten bij onze waarden en doelen, en we geloven dat we wederzijds kunnen profiteren van elkaars groei.

Ben je al klant van Cloud Captains? En heb je meer dan 50 licenties? Neem contact met ons op voor je gratis Google Workspace Assessment.

Domeinen

Wie is de eigenaar van het domein?

We zien dit vaak gebeuren: er is geen toegang tot de DNS (Domain Name System) van het domein dat in Google Workspace wordt gebruikt als primair domein en de domein gegevens (whois) zoals eigenaar, adres en meer zijn niet de gegevens van het bedrijf dat het domein gebruikt maar bijvoorbeeld van de websitebouwer.

Op dit moment is het geen probleem, maar als je een probleem hebt met de websitebouwer of de websitebouwer failliet gaat en betaald de rekening van het domein niet dan heb je een probleem. Bovendien is het moeilijk om een domein record toe te voegen of te wijzigen omdat je altijd via een derde partij moet gaan, wat een hoop tijd en e-mail verkeer kost. Om je whois-informatie te controleren kun je naar deze website gaan voor .com / .net domeinen ICANN Lookup en naar SIDN voor Nederlandse domeinnamen.

Hoe een domein werkt

Een www. domein bestaat uit onderliggende lagen van informatie, wat best complex kan zijn. Simpel gezegd is een domein een adresboek dat verschillende records bevat, die naar verschillende servers verwijzen. Deze records bevatten informatie die het programma of de server helpt de juiste informatie of verbinding te vinden. Er zijn A (ip4) / AAA (ip6) records die meestal naar een (web)server wijzen evenals MX records (mail exchange) die ervoor zorgen dat mailservers weten waar ze mail naartoe moeten sturen. Er zijn ook TXT-records die informatie bevatten voor zaken als verificatie, beveiliging of andere doeleinden die nodig zijn voor bijvoorbeeld informatie-uitwisseling tussen servers en een domein te veriferen. Je domein staat bij een domein registar / host deze beheert een nameserver (NS) waar jouw domein staat, dit kan bijvoorbeeld mijndomein, hostnet, TransIP of godaddy zijn.

Wat heb je nodig om berichten te ontvangen?

Om te beginnen moet het domein worden toegevoegd aan de Google Workspace omgeving. Het eerste domein dat wordt toegevoegd is het primaire domein, wat het hoofddomein is en vervolgens kun je bijvoorbeeld een secundair domein of een domeinalias toevoegen. Er zijn verschillende records nodig in het domein. Eerst moet het domein worden geverifieerd door een TXT-record of een Cname-record toe te voegen. Het kan gebeuren dat je domein al bestaat in het systeem (This domain name is already in use) van Google, wat een conflicterend domein wordt genoemd. Hiervoor moet een speciale workflow worden gevolgd om te zorgen het domein loskomt uit het Google systeem en opnieuw kan worden toegevoegd aan de Workspace omgeving.

Zodra het domein is geverifieerd moet je controleren wat er moet gebeuren om te zorgen dat alles goed verloopt. Is het domein al in gebruik? In dat geval zal er een migratieplan is opgesteld. Wil je e-mails gaan ontvangen op je domein? In dat geval moeten de MX-records worden aangepast naar “smtp.google.com”. Daarna moet het SPF-record worden toegevoegd en waar mogelijk een DKIM- en DMARC-record. Nu kunnen gebruikers (of groepen – mits ze zijn aangemaakt en betaling is geregeld via creditcard, paypal of op factuur via Cloud-Captains) e-mails versturen en ontvangen.

Je records controleren

Als je je records in je domein wilt controleren kun je een DIG (Domain Information Groper) commando gebruiken vanaf je eigen computer of via een website. Ga naar deze website Dig (DNS lookup) en voer het domein in. Controleer de informatie die je wilt zien door op het juiste tabblad te klikken.

In Google Workspace

Je domein(en) vinden

In het beheerdersconsole kun je in het menu naar het volgende gaan: Accounts → Domeinen → Domeinen beheren. Hier vind je een lijst met domeinen die in Google Workspace worden gebruikt. Je kunt zien of het domein is geverifieerd zo niet dan kun je de controle opnieuw starten en domeinen toevoegen of verwijderen.

Niet-beheerde gebruikers

Het is mogelijk dat er een account is aangemaakt in het Google-systeem met behulp van het domein dat je wilt toevoegen. Dit kan een YouTube-account, een AdSense-account of een Team Drive zijn. Ongeacht wat er is aangemaakt kunnen er gegevens van je organisatie onbeheerd zijn binnen de Google-omgeving waarover je geen controle hebt. Na het toevoegen van het domein kun je controleren of er accounts zijn aangemaakt. Dit kan via niet-beheerde gebruikers.

Je kunt de instellingen van de organisatie voor niet-beheerde gebruikers aanpassen zodat bepaalde acties kunnen worden ondernomen zoals het verzenden van een uitnodiging om het account met zijn gegevens aan de omgeving toe te voegen, het account rechtstreeks zonder gegevens toevoegen of niets doen en zelf actie ondernemen. Als je deze instellingen wilt aanpassen in de beheerdersconsole, kun je deze link volgen. Meer informatie over niet-beheerde gebruikers vind je hier: Niet-beheerde gebruikers zoeken en toevoegen – Google Workspace Admin Help.

Wijziging van primair domein

Het is mogelijk om het primaire domein aan te passen naar een ander domein. Dit kan in het beheerdersconsole onder Accounts → Domeinen → Domeinen beheren door een ander domein toe te voegen als secundair domein. Verifieer het en maak het klaar voor gebruik voor Google Workspace met MX-records en e-mailbeveiligingsrecords en controleer op niet-beheerde gebruikers.

Zodra dit is gebeurd kun je bovenaan in ‘Domeinen beheren’ op het knopje ‘wijzig primaire domein’ klikken om een nieuw primair domein te selecteren. Alle gebruikers met het primaire domein worden gewijzigd naar het nieuwe primaire domein, het oude primaire domein wordt toegevoegd als secundair domein en e-mailaliassen met het oude primaire domein worden automatisch toegevoegd voor de gebruikers. Meer informatie over primaire domeinen vind je hier: Je primaire domein kiezen – Google Workspace Admin Help.

Conflicterend domein

Het kan zijn dat je domein is gemarkeerd als in gebruik in het Google-systeem (This domain name is already in use), wat betekent dat het niet mogelijk is om dit domein toe te voegen aan je Google-omgeving. Dit kan een probleem zijn omdat je het domein niet kunt toevoegen en het ook niet gemakkelijk is om contact op te nemen met Google Support om het probleem op te lossen. Je kunt een verzoek indienen bij Google om je domein vrij te geven van de andere omgeving via dit formulier.

Hiervoor wordt een heel process doorlopen waarbij de andere partij een x aantal dagen krijgt op een verzoek van Google om een hun data veilig te stellen en of te bewijzen dat hun de eigenaar zijn van het domein. Dit process kan tot 4 weken duren, waarbij informatie en verificatie wordt gevraagd.

Beperkingen

Er zijn enkele beperkingen aan het gebruik van meerdere domeinen in Google Workspace, wat soms vervelend kan zijn voor de beheerder maar er zijn workarounds voor verschillende problemen.

Bijvoorbeeld:
Migratie van domeinaliassen wordt niet ondersteund en Google Workspace-service-URL’s zijn beperkt tot het primaire domein. Als je meer wilt weten over de beperkingen van meerdere domeinen, volg dan de link: Beperkingen met meerdere domeinen – Google Workspace Admin Help.

Propagatie

Updates die zijn aangebracht in de DNS-gegevens van het domein moeten worden gepropageerd. Dit betekent dat alle servers wereldwijd de gegevens van een andere server moeten ontvangen, wat tijd kost. Daarom kan het even duren voordat een record is bijgewerkt. Dit betekend dat het soms 72 uur kan duren voor een domein is geverifiveerd of dat er post kan worden ontvangen via de Google Mail Servers.

Als je meer wilt weten over propagatie in Google Workspace, kun je deze link bezoeken Hoe wijzigingen worden doorgevoerd in Google-services – Google Workspace Admin Help.

Domein types

Er zijn drie verschillende manieren om domeinnamen toe te voegen aan de Google Workspace omgeving:

Primair domein

Het primaire domein is het hoofddomein van de Google Workspace omgeving na het registreren van de omgeving.

Secundair domein

Een secundair domein is het tweede domein dat aan de omgeving wordt toegevoegd. Je moet zelf aangeven wie of wat dit secundaire domein gaat gebruiken. Je kunt een secundair domein toevoegen als alias voor gebruikers en groepen, maar het niet gebruiken voor Google Sites of Google Drive. Je kunt 599 secundaire domeinen toevoegen in Google Workspace.

Door gebruikers te importeren en exporteren via CSV in het beheerdersconsole is het ook mogelijk om het secundaire domein van gebruikers in bulk aan te passen. Je kunt een secundair domein toevoegen door te klikken op Domein toevoegen in Accounts → Domeinen → Domeinen beheren in het beheerdersconsole en te klikken op Domein toevoegen en door naar secundaire domein te gaan in de pop-up en het adres in te vullen. Voor meer informatie: Een gebruikersalias domein of secundair domein toevoegen – Google Workspace Admin Help.

Domein alias

Als je wilt dat iedereen een domein aan zijn e-mailaccount heeft toegevoegd kun je een domein alias toevoegen. Dit kan handig zijn als je domeinen met verschillende TLD’s hebt (Top Level Domein – zoals .com en .nl). Om een secundair domein toe te voegen. Klik op Domein toevoegen in Accounts → Domeinen → Domeinen beheren in het beheerdersconsole, klik op de knop Domein toevoegen in de pop-up, ga naar domein alias en vul het adres in en volg de instructies. Je kunt 20 domeinen toevoegen voor domein aliassen in Google Workspace.

⚠️Waarschuwing
De niet-beheerde gebruikers worden niet weergegeven in Niet-beheerde gebruikers met een domein alias en worden direct overschreven zonder waarschuwing aan de beheerder wanneer de instellingen niet worden gewijzigd.

🚩Advies
Ons advies is om het gebruik van domein aliassen te vermijden vanwege de beperkingen die ze opleggen aan beheerders. Voeg in plaats daarvan het domein toe als een secundair domein en je kunt aliassen toevoegen.

Testdomein

Elke Google Workspace omgeving heeft een “test-google-a.com”-adres als een door het systeem toegevoegd test domein, bijvoorbeeld domain.com.test-google-a.com. Dit adres kan worden gebruikt voor het ontvangen van berichten voordat de MX-records worden gewijzigd maar het kan ook bijvoorbeeld worden gebruikt als een tijdelijk domein of een catch-all domein voor een migratie. Ga onder gebruikersinformatie in de beheerconsole naar aliassen en je kunt zien welk e-mailadres aan de gebruiker is toegevoegd.

Als Google Workspace meerdere domeinen heeft krijgen alleen de gebruikers in het primaire domein een test-e-mailadres toegewezen. Je kunt het testadres deactiveren in Domeinen beheren.

Meer informatie over het test-e-mailadres vind je hier: Test-e-mailadressen – Google Workspace Admin Help.

Voorbeelden

Bedrijfsuitbreiding met een secundair domein

Het bedrijf heeft zojuist een nieuw bedrijf overgenomen en wil de nieuwe medewerkers met hun eigen accounts en eigen aangepast domein toevoegen aan de Google Workspace omgeving. Dit kan door het nieuwe domein als secundair domein toe te voegen.

Use case: user1@companyA.com kan nog steeds samenwerken met user2@companyB.com in dezelfde Google-omgeving.

Consistentie met alias domein

Je bedrijf heeft twee domeinen: companyA.com en company-A.com en je wilt dat gebruikers e-mails ontvangen op beide domeinen. Om dit te doen moet je het domein als een domein alias toevoegen aan de Google Workspace omgeving. (zie kopje domein alias voor meer advies domein aliassen)

Use case: user1@companyA.com krijgt automatisch de alias user1@company-a.com.

Je domein wijzigen

Het bedrijf wil zijn domeinnaam wijzigen van companyA.com naar companyD.com. Dit kan door het domein als secundair domein toe te voegen aan de omgeving en na verificatie en controle van records. Hierna te wijzingen in primair domein, gebruikers krijgen automatisch het nieuwe e-mail adres en het oude word toegevoegd als alias bij de gebruiker. Je kunt nu het oude domein degraderen en bijvoorbeeld na een jaar verwijderen.

Subdomeinen

Als je een subdomein wilt toevoegen aan je Google Workspace omgeving voor een afdeling, bijvoorbeeld finance.companyb.com, kun je dit toevoegen als een nieuw secundair domein in de Google omgeving. Na verificatie en controle kun je dit domein ook gebruiken en deze toe voegen aan bepaalde gebruikers.

Secundair domein alias

Het is mogelijk om een alias toe te voegen voor gebruikers in het secundaire domein in Google Workspace. Dit heeft als voordeel dat gebruikers die ook het secundaire domein hebben, de alias van het primaire domein kunnen gebruiken. Voorlopig kan dit alleen via een API. Meer informatie vind je hier: REST Resource: domainAliases | Admin console | Google for Developers.

Troubleshooting

Domein is al in gebruik in Google Workspace?

Het kan zijn dat je domein al eens eerder is gebruikt in Google Workspace door een ander bedrijf. Dit betekent dat het domein nog steeds “vastzit” in een andere Google Workspace omgeving. Hiervoor moet een proces worden gestart om het domein terug te krijgen dat kan via deze link.

Kan geen e-mail ontvangen

Controleer of de MX-records correct zijn ingesteld in de DNS-records van je domein met behulp van DIG. Zorg ervoor dat er geen dubbele MX-records of prioriteitswaarden zijn die onjuist zijn omdat dit ertoe kan leiden dat e-mails naar de verkeerde plaats worden bezorgd. Heb je net je MX-records aangepast dan kan het tot 72 uur duren voor dat deze wereldwijd zijn toegevoegd.

Berichten worden gemarkeerd als spam

Controleer of je SPF-, DKIM- en DMARC-records correct zijn ingesteld. Zo niet dan wordt de status van je domein na ongeveer een 2 – 4 weken hersteld. Als ze correct zijn ingesteld, controleer dan je DMARC-rapporten en kijk wie jouw domein misbruikt.

Captain’s Checklist: Domeinen in Google Workspace