Nama situs web publik saya dan nama domain AD adalah sama. Bagaimana saya bisa sampai ke situs web eksternal saya dari dalam jaringan saya?

15

Saya menggunakan domain example.orgsaya di perusahaan saya. Saya dapat menggunakan www.example.orguntuk melihat situs web saya. Jika saya mencoba http://example.orgdari luar perusahaan saya tidak ada masalah, tetapi jika saya mencobanya dari dalam, server DNS windows saya memberikan IP pengontrol domain.

Bagaimana saya bisa memecahkan masalah ini? Bisakah saya mencegah DC saya dari mendaftar seperti example.orgdalam DNS saya dan apakah ini akan menjadi masalah bagi lingkungan saya?

domain-name-system active-directory domain Maks
sumber
Untuk memperjelas, nama DNS jaringan internal Anda adalah example.org, dan bukan sesuatu seperti example.local?
DanBig
6
Anda dapat menyelesaikan ini dengan memberi nama domain Anda dengan benar, seharusnya seperti ad.example.org, atau corp.example.org. Jika itu tidak mungkin lagi Anda terjebak. Yang terbaik yang dapat Anda lakukan adalah mengatur redirect ke www.example.orgpada DC apa pun yang juga telah menginstal IIS (ide yang buruk, tetapi banyak pengontrol domain setup buruk).
Chris S
2
"Bisakah saya mencegah DC saya dari mendaftar sebagai example.org di DNS saya" - tidak. "Dan apakah ini akan menjadi masalah bagi lingkunganku?" - IYA!
mfinni

Jawaban:

29

Jika Anda telah menamai Direktori Aktif example.orgAnda, maka Anda tidak dapat mencegahnya. Anda menentang praktik terbaik Microsft untuk memberi nama AD dan Anda melihat salah satu gejalanya.

Anda punya beberapa pilihan:

  1. Bermigrasi ke AD yang dinamai dengan benar. Sesuatu seperti corp.example.org.

  2. Instal server web pada setiap DC dan konfigurasikan untuk meneruskan permintaan web example.orgke www.example.org. Ini kotor dan tidak boleh dilakukan, tetapi tetap merupakan pilihan.

  3. Latih pengguna Anda untuk masuk ke www.example.orginternal.

Saya telah membuat blog tentang praktik terbaik penamaan AD beberapa kali dan menautkan ke sumber Microsoft resmi. Anda harus membacanya:

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in -your.html http://www.mdmarra.com/2013/07/more-documentation-from-microsoft-about.html

Jika Anda ingin versi pendek:

Jangan membuat hutan direktori aktif baru dengan nama yang sama dengan nama DNS eksternal. Misalnya, jika URL DNS Internet Anda adalah http://contoso.com , Anda harus memilih nama lain untuk forest internal Anda untuk menghindari masalah kompatibilitas di masa depan. Nama itu harus unik dan tidak mungkin untuk lalu lintas web. Misalnya: corp.contoso.com.

- http://technet.microsoft.com/en-us/library/jj574166.aspx

MDMarra
sumber
Selain itu, Anda dapat menyiapkan CNAME "contoh" sederhana dalam DNS (example.example.org secara teknis) dan mengarahkannya ke www.example.org. Kemudian Anda bisa memberi tahu pengguna untuk pergi ke http://example. Tentu saja konyol, jika tidak # 3 dalam daftar MDMarra adalah satu-satunya solusi sederhana untuk masalah ini. Saya pernah ke sana (split-dns) dan itu tidak menyenangkan untuk ditangani.
TheCleaner
Selama "contoh" bukan nama NetBIOS untuk domain Anda. Jika ya, saya bisa membayangkan apa yang akan terjadi di lingkungan seperti ini.
mfinni
Saya akan memberi saya beberapa informasi tentang migrasi ke nama yang tepat, saya hanya sedikit takut mendapatkan masalah melalui itu. Masalahnya adalah dengan Pemantauan Nagios saya yang saya gunakan untuk memastikan itu www.example.orgdan example.orgbaik-baik saja dari eksternal. Di sini saya akan pergi dan mencari alternatif untuk pengaturan saya selama saya punya / tidak akan bermigrasi. Thx
Max
Saya hanya ingin memperbarui jawabannya ... sementara itu pernah menjadi rekomendasi praktik terbaik oleh Microsoft, RFC menggantikannya, karena mengganggu zeroconf (mDNS). Juga, artikel TechNet ini merekomendasikan untuk tidak melakukannya (pada 2012), terutama jika Anda ingin mengintegrasikan lingkungan AD Anda dengan Office 365 atau menggunakan Mac di domain Anda, karena kami berdua telah terjadi di mana saya bekerja. Salah satu solusi mencatat akan menggunakan zona split, sebagai [rinci di sini] ( social.technet.microsoft.com/Forums/windowsserver/en-US/...
3
@stevenh baca artikel yang Anda tautkan lagi. Itu menggemakan jawaban saya sepenuhnya. Saat pindah ke kantor 365 dengan identitas hibrid, Anda harus menetapkan nama utama pengguna agar cocok dengan alamat SMTP primer dari setiap pengguna. Ini sepenuhnya independen dari nama direktori Anda. Jawaban saya valid ketika saya mempostingnya dan masih valid hari ini.
MDMarra
4

Jika Anda menjalankan Exchange di DC, jangan atur PortProxy - mungkin tanpa berkata apa-apa tapi itu akan merusak layanan Exchange yang dihosting di port 80.

Saya menyadari posting ini sudah cukup tua, tetapi Anda masih dapat melakukan ini tanpa menginstal IIS di DC. Di setiap DC, jalankan perintah berikut untuk portproxy port 80 ke server web eksternal.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}
Kevin Hayashi
sumber
ini mengharuskan server web dapat dijangkau dari DC. Namun bukan lagi cara yang baik. Maka Anda bisa mengarahkan ulang ke www. versi untuk mengambil pekerjaan dari DC. (Pro tipp: saya pikir portproxy membutuhkan layanan "ip helper" dari windows)
Max
0

Jadi, saya tidak tahu apakah ini menghindari orang lain, tetapi perbaikan terbaik untuk masalah ini mungkin hanya mendapatkan domain sekunder dengan akhiran yang berbeda, terutama jika Anda tidak dapat PortProxy karena Exchange berada di DC (atau karena masalah hostheaders dengan host web Anda.)

mis: Jika Domain AD internal EXAMPLE.com - maka Anda cukup membeli EXAMPLE.NET untuk penggunaan internal.

Ini adalah solusi termurah dan paling sederhana untuk akses web internal.

Itu berhasil bagi kita.

Malapetaka
sumber
0

jika Anda ingin menggunakan URL sebagai domain, gunakan nama mesin seperti dc1.example.com dan dc2.example.com untuk setiap server

pastikan CNAME diatur untuk setiap server dengan benar untuk alamat IP server yang tepat

Saya telah dapat melakukan ini dengan membuat CNAME terlebih dahulu kemudian mengatur server, tunggu satu hari agar data DNS dapat dipropagasi

Fanatik Vegan
sumber
-2

Anda dapat memecahkan masalah Anda dengan dua cara, tetapi melibatkan menempatkan server HTTP di DC Anda:

Anda dapat melakukan pengalihan dengan pengalihan URL (kode HTTP 301), IIS 7 dapat melakukannya untuk Anda, atau Anda dapat menginstal proxy terbalik (Apache untuk Windows) dan menggunakan kode berikut:

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost On

Bruno Mairlot
sumber
1
Ini termasuk dalam jawaban MDMarra; item 2.
mfinni