Witryna i domena Active Directory mają tę samą nazwę

16

W naszej sieci nazwa domeny sieciowej jest także domeną strony internetowej organizacji (powiedzmy example.com). Zewnętrznie ludzie mogą wejść, example.comaby odwiedzić naszą stronę internetową, ale wewnętrznie wskazuje to na jeden z kilku kontrolerów domeny, które mamy dla Active Directory, z których niektóre nawet nie obsługują serwera WWW.

W wyniku tego łącza do http://example.comnie działają wewnętrznie ( only www.example.comdziała wewnętrznie).

W jaki sposób transparentnie kierujemy żądania HTTP do serwera WWW i jakie to ma skutki uboczne?

windows domain-name-system active-directory svandragt
źródło

Odpowiedzi:

16

Nie ma łatwego rozwiązania tego, czego chcesz.

Nie chcesz używać tej samej nazwy domeny wewnętrznie, co jest już autorytatywne dla czegoś innego w Internecie. Teraz uczysz się dlaczego.

Jeśli nie jest za późno na zmianę nazwy domeny AD na coś innego, polecam to zrobić.

Jeśli nie, masz dwie możliwości:

  • Uruchom witrynę przekierowującą na wszystkich kontrolerach domeny (ponieważ każdy odpowiada na „domena.com”), aby przekierowywać żądania na inną nazwę hosta (np. Www.domain.com).

  • Po prostu powiedz użytkownikom, że „domena.com” nie działa, aby dostać się na stronę firmową.

Jeśli połączysz się z rekordem A dla nazwy domeny AD, próbując „wskazać” jej adres zewnętrzny, złamiesz odwołania DFS do SYSVOL i okaleczysz zasady grupy na wszystkich twoich komputerach.

Jest to największy powód, dla którego polecam klientom używanie nazwy domeny drugiego poziomu w stylu „ad.company.com”. O ile nie masz bardzo dobrych powodów, nigdy nie powinieneś tworzyć strefy na serwerze DNS, dla której niektóre inne serwery DNS w Internecie są już autorytatywne, nawet jeśli znajdują się one w prywatnej sieci LAN. W końcu będziesz chciał podłączyć swoją prywatną sieć LAN do Internetu, a sprzeczne nazwy spowodują problemy.

Evan Anderson
źródło
Poleciłbym coś takiego jak corp.company.com zamiast company.local; zalecane praktyki to używanie nazw domen do Internetu.
James Risto
Zawsze osobiście byłem stronnikiem „ad.company.com”. Prawdopodobnie nigdy nie będzie prawdziwej „.local” TLD, co w / tylu instalacjach już używa jej do wewnętrznego nazewnictwa.
Evan Anderson
2
Możesz jednak uważać, jeśli masz klientów OS X: używają .local dla lokalizacji usługi Bonjour. To dało nam kilka interesujących problemów, dopóki nie zorientowaliśmy się, co się dzieje.
RainyRat
4

Zmiana lokalizacji wskazywanej przez example.com w DNS nie jest dobrym pomysłem, ponieważ musi wskazywać na kontroler domeny. Możesz skonfigurować IIS na DC ze stite na przykład.com, który właśnie przesyła żądanie do www.example.com.

Sam Cogan
źródło