Il nome del mio sito Web pubblico e il nome di dominio AD sono gli stessi. Come posso accedere al mio sito Web esterno dall'interno della mia rete?

15

Sto usando il mio dominio example.orgnella mia azienda. Posso usare www.example.orgper visualizzare il mio sito Web. Se provo http://example.orgda fuori sede la mia azienda non c'è alcun problema, ma se provo dall'interno, i miei server DNS di Windows forniscono gli IP dei controller di dominio.

Come posso risolvere questo? Posso impedire ai miei controller di dominio di registrarsi come example.orgnel mio DNS e questo sarà un problema per il mio ambiente?

domain-name-system  active-directory  domain 
Max
fonte
Per chiarire, il nome DNS della tua rete interna è example.org e non qualcosa come esempio.local?
DanBig,
6
Puoi risolverlo nominando correttamente il tuo dominio, dovrebbe essere qualcosa del genere ad.example.orgo corp.example.org. Se ciò non è più possibile, sei bloccato. Il meglio che puoi fare è impostare un reindirizzamento www.example.orgsu tutti i controller di dominio su cui è installato anche IIS (una cattiva idea, ma molti controller di dominio sono impostati male).
Chris S,
2
"Posso impedire ai miei controller di dominio di registrarsi come example.org nel mio DNS" - no. "e questo sarà un problema per il mio ambiente?" - SÌ!
mfinni,

Risposte:

29

Se hai nominato la tua Active Directory, example.orgnon puoi impedirlo. Sei andato contro le migliori pratiche di Microsft per nominare un annuncio e stai vedendo uno dei sintomi.

Hai alcune scelte:

  1. Migrare a un annuncio con nome appropriato. Qualcosa del genere corp.example.org.

  2. Installare un server Web su ciascun controller di dominio e configurarlo per inoltrare le richieste Web example.orga www.example.org. Questo è sporco e non dovrebbe essere fatto, ma è comunque un'opzione.

  3. Allena i tuoi utenti ad andare www.example.orginternamente.

Ho scritto più volte blog sulle best practice per la denominazione di annunci pubblicitari e link a fonti ufficiali Microsoft. Dovresti leggerli:

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in -tuo.html http://www.mdmarra.com/2013/07/more-documentation-from-microsoft-about.html

Se vuoi la versione breve:

Non creare nuove foreste di Active Directory con lo stesso nome di un nome DNS esterno. Ad esempio, se l'URL DNS Internet è http://contoso.com , è necessario scegliere un nome diverso per la foresta interna per evitare futuri problemi di compatibilità. Quel nome dovrebbe essere unico e improbabile per il traffico web. Ad esempio: corp.contoso.com.

- http://technet.microsoft.com/en-us/library/jj574166.aspx

MDMarra
fonte
Inoltre, puoi impostare un semplice "esempio" CNAME in DNS (esempio.esempio.org tecnicamente) e farlo puntare a www.esempio.org. Quindi puoi semplicemente dire agli utenti di andare a http://example. Ovviamente sciocco, altrimenti il ​​n. 3 nell'elenco di MDMarra è l'unica soluzione semplice al problema. Ci sono stato (split-dns) e non è divertente da affrontare.
TheCleaner,
Finché "esempio" non è il nome NetBIOS per il tuo dominio. Se lo è, posso immaginare che diavolo allegro questo potrebbe suonare in un ambiente simile.
mfinni,
Mi fornirò alcune informazioni sulla migrazione verso un nome appropriato, ho solo un po 'paura di avere dei problemi. Il problema è con il mio monitoraggio Nagios che io uso per fare in modo che www.example.orge example.orgsta bene da esterno. Qui andrò e troverò un'alternativa per la mia installazione finché avrò / non migrerò. Grazie
Max
Voglio solo aggiornare la risposta ... mentre una volta era la raccomandazione delle migliori pratiche da parte di Microsoft, RFC la sostituisce, poiché interferisce con zeroconf (mDNS). Inoltre, questo articolo di TechNet lo sconsiglia (a partire dal 2012), soprattutto se stai cercando di integrare il tuo ambiente AD con Office 365 o l'utilizzo di Mac nel tuo dominio, poiché entrambi accadiamo dove lavoro. Una soluzione nota sarebbe quella di utilizzare una zona divisa, come [dettagliato qui] ( social.technet.microsoft.com/Forums/windowsserver/en-US/…
3
@stevenh leggi di nuovo l'articolo a cui hai collegato. Fa eco alla mia risposta completamente. Quando si passa a Office 365 con un'identità ibrida, è necessario impostare il nome principale dell'utente in modo che corrisponda all'indirizzo SMTP primario di ciascun utente. Questo è completamente indipendente dal nome della tua directory. La mia risposta era valida quando l'ho pubblicata ed è ancora valida oggi.
MDMarra,
4

Se si esegue Exchange sul controller di dominio, non impostare un PortProxy: potrebbe essere ovvio, ma interromperà i servizi di Exchange ospitati sulla porta 80.

Mi rendo conto che questo post è piuttosto vecchio, ma puoi ancora farlo senza installare IIS sui controller di dominio. Su ogni controller di dominio, eseguire il comando seguente per portproxy porta 80 al server Web esterno.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}
Kevin Hayashi
fonte
ciò richiede che il server web sia raggiungibile dal controller di dominio. Ma non meno bello. Quindi è possibile reindirizzare a www. versione per prendere il lavoro dal DC. (Pro tipp: penso che portproxy abbia bisogno del servizio "ip helper" di windows)
Max
0

Quindi, non so se questo sia sfuggito a qualcun altro, ma la soluzione migliore per questo problema potrebbe essere solo ottenere un dominio secondario con un suffisso diverso, soprattutto se non è possibile PortProxy a causa di Exchange sul controller di dominio (o a causa di problemi di hostheaders con il tuo host web.)

es: se il dominio AD interno è EXAMPLE.com , devi semplicemente acquistare EXAMPLE.NET per uso interno.

Questa è la soluzione più economica e semplice per l'accesso al web interno.

Ha funzionato per noi.

Destino
fonte
0

se si desidera utilizzare l'URL come dominio, utilizzare nomi di computer come dc1.example.com e dc2.example.com per ciascun server

assicurarsi che CNAME sia impostato correttamente per ciascun server per l'indirizzo IP del server corretto

Sono stato in grado di farlo creando prima un CNAME, quindi configurando i server, aspettando un giorno che i record DNS si propaghino

Fanatico Vegano
fonte
-2

È possibile risolvere il problema in due modi, ma comporta l'inserimento di un server HTTP nei controller di dominio:

Puoi eseguire il reindirizzamento con un reindirizzamento URL (codice HTTP 301), IIS 7 può farlo per te oppure puoi installare un proxy inverso (Apache per Windows) e utilizzare il seguente codice:

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost Attivo

Bruno Mairlot
fonte
1
Questo è incluso nella risposta di MDMarra; è il punto 2.
mfinni il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.