Moja nazwa publicznej witryny internetowej i nazwa domeny AD są takie same. Jak mogę dostać się do mojej zewnętrznej strony z sieci?

15

Korzystam z mojej domeny example.orgw mojej firmie. Mogę użyć, www.example.orgaby wyświetlić moją stronę internetową. Jeśli spróbuję http://example.orgz zewnątrz mojej firmy, nie ma problemu, ale jeśli spróbuję od wewnątrz, moje serwery DNS systemu Windows dostarczają adresy IP kontrolerów domeny.

Jak mogę to rozwiązać? Czy mogę uniemożliwić moim kontrolerom domeny rejestrację example.orgw systemie DNS i czy będzie to stanowić problem dla mojego środowiska?

domain-name-system active-directory domain Max
źródło
Aby to wyjaśnić, nazwa DNS Twojej sieci wewnętrznej to example.org, a nie coś takiego jak example.local?
DanBig
6
Możesz rozwiązać ten problem, nazywając swoją domenę poprawnie, powinno to być coś w rodzaju ad.example.org, lub corp.example.org. Jeśli to nie jest już możliwe, utkniesz. Najlepsze, co możesz zrobić, to skonfigurować przekierowanie www.example.orgna wszystkich kontrolerach domeny, które również mają zainstalowane IIS (zły pomysł, ale wiele kontrolerów domeny jest źle skonfigurowanych).
Chris S
2
„Czy mogę zapobiec rejestrowaniu moich kontrolerów domeny jako example.org w moim DNS” - ​​nie. „i czy będzie to stanowić problem dla mojego środowiska?” - TAK!
mfinni

Odpowiedzi:

30

Jeśli nadałeś nazwę swojej usłudze Active Directory example.org, nie możesz temu zapobiec. Przeciwstawiłeś się najlepszym praktykom Microsft dotyczącym nazewnictwa AD i widzisz jeden z symptomów.

Masz kilka możliwości:

  1. Przeprowadź migrację do prawidłowo nazwanej usługi AD. Coś jak corp.example.org.

  2. Zainstaluj serwer sieciowy na każdym kontrolerze domeny i skonfiguruj go, aby przekazywał żądania WWW example.orgdo www.example.org. Jest to brudne i nie należy tego robić, ale mimo to jest to opcja.

  3. Przeszkol użytkowników, aby przechodzili www.example.orgwewnętrznie.

Wielokrotnie pisałem na blogu o najlepszych praktykach związanych z nazewnictwem AD i linkowałem do oficjalnych źródeł Microsoft. Powinieneś je przeczytać:

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in -twoj.html http://www.mdmarra.com/2013/07/more-documentation-from-microsoft-about.html

Jeśli chcesz krótką wersję:

Nie twórz nowych lasów Active Directory o takiej samej nazwie jak zewnętrzna nazwa DNS. Na przykład jeśli twój internetowy adres URL DNS to http://contoso.com , musisz wybrać inną nazwę dla swojego wewnętrznego lasu, aby uniknąć problemów ze zgodnością w przyszłości. Ta nazwa powinna być unikalna i mało prawdopodobna dla ruchu sieciowego. Na przykład: corp.contoso.com.

- http://technet.microsoft.com/en-us/library/jj574166.aspx

MDMarra
źródło
Ponadto możesz skonfigurować prosty „przykładowy” CNAME w DNS (technicznie przyklad.przyklad.org) i ustawić go na www.przyklad.org. Następnie możesz po prostu powiedzieć użytkownikom, aby poszli do http://example. Głupie, oczywiście, w przeciwnym razie # 3 na liście MDMarra jest jedynym prostym rozwiązaniem tego problemu. Byłem tam (split-dns) i nie jest fajnie sobie z tym radzić.
TheCleaner,
Tak długo, jak „przykład” nie jest nazwą NetBIOS dla Twojej domeny. Jeśli tak, to mogę sobie wyobrazić, jakie wesołe piekło grałoby w takim środowisku.
mfinni
Dostarczę mi trochę informacji na temat migracji do prawidłowej nazwy, trochę boję się przez to problemów. Problem dotyczy mojego monitorowania Nagios, którego używam, aby się upewnić, www.example.orgi że example.orgjest w porządku z zewnętrznego. Tutaj przejdę i znajdę alternatywę dla mojej konfiguracji, o ile mam / nie przeprowadzę migracji. Thx
Max
Chcę tylko zaktualizować odpowiedź ... chociaż była to najlepsza rekomendacja firmy Microsoft, RFC zastępuje ją, ponieważ przeszkadza zeroconf (mDNS). Ponadto ten artykuł TechNet odradza to (od 2012 r.), Zwłaszcza jeśli chcesz zintegrować środowisko AD z Office 365 lub używać komputerów Mac w swojej domenie, ponieważ oboje zdarza się tam, gdzie pracuję. Jednym zauważonym obejściem byłoby użycie strefy podziału, jak [wyszczególniono tutaj] ( social.technet.microsoft.com/Forums/windowsserver/en-US/…
3
@stevenh ponownie przeczytaj artykuł, do którego linkujesz. To całkowicie odzwierciedla moją odpowiedź. Podczas przenoszenia do Office 365 z tożsamością hybrydową należy ustawić główną nazwę użytkownika, aby była zgodna z podstawowym adresem SMTP każdego użytkownika. Jest to całkowicie niezależne od nazwy katalogu. Moja odpowiedź była prawidłowa, kiedy ją opublikowałem i nadal jest aktualna.
MDMarra,
4

Jeśli korzystasz z Exchange na DC, nie konfiguruj PortProxy - może to być oczywiste, ale spowoduje uszkodzenie usług Exchange hostowanych na porcie 80.

Zdaję sobie sprawę, że ten post jest dość stary, ale nadal możesz to zrobić bez instalowania IIS na DC. Na każdym kontrolerze domeny uruchom następujące polecenie, aby portproxy port 80 do zewnętrznego serwera WWW.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}
Kevin Hayashi
źródło
wymaga to, aby serwer WWW był dostępny z DC. Ale nie mniej przyjemny sposób. Następnie możesz przekierować na www. wersja do pracy z DC. (Wskazówka typu: myślę, że portproxy potrzebuje usługi „pomocnika ip” systemu Windows)
Max
0

Tak więc nie wiem, czy to uniknęło nikogo innego, ale najlepszym rozwiązaniem tego problemu może być uzyskanie dodatkowej domeny z innym sufiksem, szczególnie jeśli nie możesz PortProxy z powodu Exchange na DC (lub z powodu problemów z nagłówkami hostów z usługodawcą internetowym).

np .: jeśli wewnętrzną domeną AD jest EXAMPLE.com - powinieneś po prostu kupić EXAMPLE.NET do użytku wewnętrznego.

Jest to najtańsze i najprostsze obejście wewnętrznego dostępu do sieci.

To działało dla nas.

Los
źródło
0

jeśli chcesz używać adresu URL jako domeny, użyj nazw komputerów, takich jak dc1.example.com i dc2.example.com dla każdego serwera

upewnij się, że CNAME jest skonfigurowany dla każdego serwera poprawnie dla właściwego adresu IP serwera

Byłem w stanie to zrobić, tworząc najpierw CNAME, a następnie konfigurując serwery, poczekaj dzień, aż rekordy DNS zaczną się propagować

Fanatyk wegański
źródło
-2

Możesz rozwiązać problem na dwa sposoby, ale wymaga to umieszczenia serwera HTTP na DC:

Możesz wykonać przekierowanie za pomocą przekierowania adresu URL (kod HTTP 301), IIS 7 może to zrobić za Ciebie, lub możesz zainstalować odwrotne proxy (Apache dla Windows) i użyć następującego kodu:

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost On

Bruno Mairlot
źródło
1
Jest to uwzględnione w odpowiedzi MDMarra; jest to pozycja 2.
mfinni,