Имя моего общедоступного веб-сайта и имя домена AD совпадают. Как я могу попасть на мой внешний сайт из моей сети?

15

Я использую свой домен example.orgв моей фирме. Я могу использовать www.example.orgдля просмотра моего сайта. Если я пытаюсь получить http://example.orgдоступ из своей фирмы извне, это не проблема, но если я попробую это изнутри, мои DNS-серверы Windows предоставляют IP-адреса контроллеров домена.

Как я могу решить это? Могу ли я предотвратить регистрацию своих контроллеров домена, как example.orgв DNS, и будет ли это проблемой для моей среды?

Максимум
источник
Чтобы уточнить, DNS-имя вашей внутренней сети - example.org, а не что-то вроде example.local?
DanBig
6
Вы можете решить эту проблему, назвав свой домен правильно, это должно быть что-то вроде ad.example.org, или corp.example.org. Если это больше невозможно, вы застряли. Лучшее, что вы можете сделать, - это настроить перенаправление www.example.orgна любые контроллеры домена, на которых также установлен IIS (плохая идея, но многие контроллеры домена настроены плохо).
Крис С
2
«Могу ли я запретить моим DC регистрироваться как example.org в моем DNS» - нет. "и это будет проблемой для моей окружающей среды?" - ДА!
mfinni

Ответы:

29

Если вы назвали свою Active Directory, example.orgвы не можете предотвратить это. Вы пошли вразрез с лучшими практиками Microsft по присвоению имен AD, и вы видите один из симптомов.

У вас есть несколько вариантов:

  1. Миграция в правильно названный AD. Нечто подобное corp.example.org.

  2. Установка веб - сервера на каждом контроллере домена и настроить его для пересылки веб - запросов для example.orgк www.example.org. Это грязно и не должно быть сделано, но, тем не менее, это вариант.

  3. Обучите своих пользователей переходить на www.example.orgвнутренний уровень.

Я много раз писал в блоге о рекомендациях по присвоению имен в AD и ссылаюсь на официальные источники Microsoft. Вы должны прочитать их:

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in -your.html http://www.mdmarra.com/2013/07/more-documentation-from-microsoft-about.html

Если вы хотите короткую версию:

Не создавайте новые леса Active Directory с тем же именем, что и внешнее DNS-имя. Например, если ваш URL-адрес DNS в Интернете - http://contoso.com , вы должны выбрать другое имя для внутреннего леса, чтобы избежать проблем совместимости в будущем. Это имя должно быть уникальным и маловероятным для веб-трафика. Например: corp.contoso.com.

- http://technet.microsoft.com/en-us/library/jj574166.aspx

MDMarra
источник
Кроме того, вы можете настроить простой «пример» CNAME в DNS (технически example.example.org) и указать ему www.example.org. Тогда вы можете просто сказать пользователям, чтобы перейти к http://example. Глупо, конечно, иначе # 3 в списке MDMarra - единственное простое решение проблемы. Я был там (split-dns), и с этим не весело иметь дело.
TheCleaner
Пока «пример» не является именем NetBIOS для вашего домена. Если это так, я могу представить, какой веселый ад это сыграло бы в такой обстановке.
mfinni
Я дам мне некоторую информацию о миграции на правильное имя, я просто немного боюсь получить проблемы через это. Проблема с моим Nagios мониторинга , который я использую , чтобы убедиться , что www.example.orgи example.orgотлично от внешних. Здесь я пойду и найду альтернативу для моей установки, пока у меня есть / не будет мигрировать. Thx
Макс
Я просто хочу обновить ответ ... в то время как это было одна из лучших рекомендаций Microsoft, RFC заменяет его, поскольку это мешает работе zeroconf (mDNS). Кроме того, эта статья TechNet рекомендует против этого (по состоянию на 2012 год), особенно если вы хотите интегрировать свою среду AD с Office 365 или использовать Mac в своем домене, поскольку у нас обоих происходит то, где я работаю. Одним из отмеченных решений может быть использование разделенной зоны, как [подробно описано здесь] ( social.technet.microsoft.com/Forums/windowsserver/en-US/…
3
@stevenh снова прочитайте статью, на которую вы ссылались. Это полностью повторяет мой ответ. При переходе в офис 365 с гибридной идентификацией вы должны установить имя участника-пользователя так, чтобы оно совпадало с основным SMTP-адресом каждого пользователя. Это полностью не зависит от имени вашего каталога. Мой ответ был действителен, когда я его опубликовал, и он все еще действителен сегодня.
MDMarra
4

Если вы используете Exchange на контроллере домена, не устанавливайте PortProxy - это само собой разумеется, но это нарушит службы Exchange, размещенные на порте 80.

Я понимаю, что этот пост довольно старый, но вы все равно можете сделать это без установки IIS на контроллеры домена. На каждом контроллере домена выполните следующую команду, чтобы перенести порт 80 прокси на внешний веб-сервер.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}
Кевин Хаяси
источник
для этого требуется, чтобы веб-сервер был доступен с DC. Но не менее хороший способ. Тогда вы можете перенаправить на www. Версия, чтобы взять работу от DC. (Pro tipp: я думаю, что portproxy требуется служба «ip helper» для Windows)
Макс
0

Итак, я не знаю, избежал ли это кого-то еще, но лучшим решением этой проблемы может быть просто получение вторичного домена с другим суффиксом, особенно если вы не можете PortProxy из-за Exchange на DC (или из-за проблем с заголовками хоста). с вашим веб-хостом.)

пример: если внутренним доменом AD является EXAMPLE.com - тогда вам просто нужно купить EXAMPLE.NET для внутреннего использования.

Это самый дешевый и самый простой обходной путь для внутреннего веб-доступа.

Это сработало для нас.

рок
источник
0

если вы хотите использовать URL-адрес в качестве домена, используйте имена компьютеров, такие как dc1.example.com и dc2.example.com для каждого сервера

убедитесь, что CNAME настроен для каждого сервера правильно для соответствующего IP-адреса сервера

Я смог сделать это, сначала создав CNAME, а затем настроив серверы, подождав день, пока записи DNS распространятся

Веганский фанатик
источник
-2

Вы можете решить вашу проблему двумя способами, но это включает в себя размещение HTTP-сервера на ваших DC:

Вы можете выполнить перенаправление с помощью перенаправления URL-адреса (код HTTP 301), IIS 7 может сделать это за вас, или вы можете установить обратный прокси-сервер (Apache для Windows) и использовать следующий код:

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost On

Бруно Майрло
источник
1
Это включено в ответ MDMarra; это пункт 2.
mfinni