Question Le nom de mon site Web public et le nom de domaine AD sont identiques. Comment puis-je accéder à mon site Web externe à partir de mon réseau?


J'utilise mon domaine example.orgdans mon entreprise. je peux utiliser www.example.orgpour voir mon site web. Si j'essaye http://example.org depuis mon site, il n’ya pas de problème, mais si j’essaie de l’intérieur, mes serveurs DNS Windows fournissent les adresses IP des contrôleurs de domaine.

Comment puis-je résoudre ça? Puis-je empêcher mes contrôleurs de domaine de s’inscrire en tant que example.org dans mon DNS et cela posera-t-il un problème pour mon environnement?


11
2017-07-25 13:03


origine


Pour clarifier, le nom DNS de votre réseau interne est example.org, et non quelque chose comme exemple.local? - DanBig
Vous pouvez résoudre ce problème en nommant correctement votre domaine. Cela devrait ressembler à quelque chose comme: ad.example.org, ou corp.example.org. Si ce n'est plus possible, vous êtes bloqué. Le mieux que vous puissiez faire est de configurer une redirection vers www.example.org sur tous les contrôleurs de domaine sur lesquels IIS est également installé (une mauvaise idée, mais de nombreux contrôleurs de domaine sont mal configurés). - Chris S
"Puis-je empêcher mes contrôleurs de domaine de s'enregistrer en tant qu'exemple.org dans mon DNS" - Nope. "et cela posera-t-il un problème pour mon environnement?" - OUI! - mfinni


Réponses:


Si vous avez nommé votre Active Directory example.org alors vous ne pouvez pas empêcher cela. Vous vous êtes opposé aux meilleures pratiques de Microsft pour nommer une AD et vous constatez l'un des symptômes.

Vous avez quelques choix:

  1. Migrer vers une AD nommée correctement. Quelque chose comme corp.example.org.

  2. Installez un serveur Web sur chaque contrôleur de domaine et configurez-le pour transférer les demandes Web pour. example.org à www.example.org. C'est sale et ne devrait pas être fait, mais c'est quand même une option.

  3. Entraînez vos utilisateurs à aller à www.example.org intérieurement.

J'ai blogué à propos d'AD en nommant plusieurs fois les meilleures pratiques et en me connectant à des sources officielles Microsoft. Vous devriez les lire:

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in-your.html http://www.mdmarra.com/2013/07/more-documentation-from-microsoft-about.html

Si vous voulez la version courte:

Ne créez pas de nouvelles forêts Active Directory avec le même nom qu'un   nom DNS externe. Par exemple, si votre URL DNS Internet est    http://contoso.com, vous devez choisir un nom différent pour votre nom interne.   forêt pour éviter de futurs problèmes de compatibilité. Ce nom devrait être   unique et peu probable pour le trafic Web. Par exemple: corp.contoso.com.

-http://technet.microsoft.com/en-us/library/jj574166.aspx


25
2017-07-25 13:24



De plus, vous pouvez configurer un "exemple" CNAME simple dans DNS (techniquement exemple.example.org) et le faire pointer sur www.example.org. Ensuite, vous pouvez simplement dire aux utilisateurs d'aller à http://example. Silly bien sûr, sinon le numéro 3 dans la liste de MDMarra est la seule solution simple au problème. J'y suis allé (split-dns) et ce n'est pas amusant à gérer. - TheCleaner
Tant que "exemple" n'est pas le nom NetBIOS de votre domaine. Si c'est le cas, je peux imaginer à quoi cela servirait de jouer dans un tel environnement. - mfinni
Je vais me donner des informations sur la migration vers un nom correct, j'ai juste un peu peur de me poser des problèmes. Le problème vient de ma surveillance Nagios que j’utilise pour s’assurer que www.example.org et example.org est bien de l'extérieur. Ici, je vais chercher une alternative pour mon installation aussi longtemps que je vais / ne migre pas. THX - Max
Je souhaite simplement mettre à jour la réponse ... alors que c’était autrefois la recommandation de meilleure pratique de Microsoft, RFC le remplace, car elle interfère avec zeroconf (mDNS). En outre, cela Article TechNet recommande contre (à partir de 2012), en particulier si vous souhaitez intégrer votre environnement AD à Office 365 ou si vous utilisez des Mac sur votre domaine, car nous travaillons tous les deux là où je travaille. Une solution de contournement consiste à utiliser une zone divisée, comme [détaillé ici] (social.technet.microsoft.com/Forums/windowsserver/en-US/…
@stevenh a relu l'article auquel vous avez accédé. Cela fait complètement écho à ma réponse. Lorsque vous passez à Office 365 avec une identité hybride, vous devez définir le nom principal de l'utilisateur pour qu'il corresponde à l'adresse SMTP principale de chaque utilisateur. Ceci est complètement indépendant du nom de votre répertoire. Ma réponse était valide quand je l'ai postée et elle l'est encore aujourd'hui. - MDMarra


Si vous exécutez Exchange sur le contrôleur de domaine, ne configurez pas un PortProxy. Cela peut aller de soi, mais cela casserait les services Exchange hébergés sur le port 80.

Je me rends compte que ce post est assez ancien, mais vous pouvez toujours le faire sans installer IIS sur les contrôleurs de domaine. Sur chaque contrôleur de domaine, exécutez la commande suivante sur le port 80 du portproxy sur le serveur Web externe.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}

3
2017-10-31 00:03



Pour cela, le serveur Web doit être accessible à partir du CD. Mais non le moins un bon moyen. Ensuite, vous pouvez rediriger vers www. version pour prendre le travail de la DC. (Astuce: je pense que portproxy a besoin du service "ip helper" de Windows) - Max


Donc, je ne sais pas si cela a échappé à quiconque, mais la meilleure solution à ce problème pourrait bien consister à obtenir un domaine secondaire avec un suffixe différent, en particulier si vous ne pouvez pas utiliser PortProxy en raison du fait que Exchange se trouve sur le DC (ou en raison de problèmes liés à Hostheaders). avec votre hébergeur.)

ex: si le domaine AD interne est EXEMPLE.com - alors vous devriez simplement acheter EXEMPLE.NET pour usage interne.

Il s'agit de la solution de contournement la moins chère et la plus simple pour l'accès Web interne.

Cela a fonctionné pour nous.


0
2017-12-28 20:10





Si vous souhaitez utiliser l'URL en tant que domaine, utilisez des noms d'ordinateur tels que dc1.example.com et dc2.example.com pour chaque serveur.

assurez-vous que le CNAME est configuré pour chaque serveur correctement avec l'adresse IP du serveur appropriée

J'ai pu le faire en créant d'abord un CNAME, puis en configurant les serveurs. Attendez un jour que les enregistrements DNS se propagent.


0
2017-10-05 19:57





Vous pouvez résoudre votre problème de deux manières, mais cela implique de placer un serveur HTTP sur vos contrôleurs de domaine:

Vous pouvez effectuer la redirection avec une redirection d'URL (code HTTP 301). IIS 7 peut le faire pour vous ou vous pouvez installer un proxy inverse (Apache pour Windows) et utiliser le code suivant:

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost On


-1
2017-07-25 14:03



Ceci est inclus dans la réponse de MDMarra; c'est le point 2. - mfinni