Meu nome de site público e nome de domínio do AD são os mesmos. Como posso acessar meu site externo de dentro da minha rede?

15

Estou usando meu domínio example.orgna minha empresa. Eu posso usar www.example.orgpara visualizar meu site. Se eu tentar de fora http://example.orgda minha empresa, não há problema, mas se eu tentar de dentro, meus servidores DNS do Windows entregam os IPs dos controladores de domínio.

Como posso resolver isso? Posso impedir que meus controladores de domínio se registrem como example.orgno meu DNS e isso será um problema para o meu ambiente?

domain-name-system active-directory domain Máx.
fonte
Para esclarecer, o nome DNS da sua rede interna é example.org, e não algo como example.local?
DanBig
6
Você pode resolver isso nomeando seu domínio corretamente, deve ser algo como ad.example.org, ou corp.example.org. Se isso não for mais possível, você está preso. O melhor que você pode fazer é configurar um redirecionamento para www.example.orgqualquer controlador de domínio que também tenha o IIS instalado (uma má idéia, mas muitos controladores de domínio estão mal configurados).
Chris S
2
"Posso impedir que meus DCs se registrem como example.org no meu DNS" - não. "e isso será um problema para o meu ambiente?" - SIM!
mfinni

Respostas:

29

Se você nomeou seu Active Directory example.org, não poderá impedir isso. Você foi contra as práticas recomendadas da Microsft para nomear um AD e está vendo um dos sintomas.

Você tem poucas escolhas:

  1. Migrar para um AD nomeado corretamente. Algo como corp.example.org.

  2. Instalar um servidor web em cada DC e configurá-lo para encaminhar solicitações web para example.orga www.example.org. Isso está sujo e não deve ser feito, mas é uma opção.

  3. Treine seus usuários para acessarem www.example.orginternamente.

Eu escrevi sobre as melhores práticas de nomeação do AD várias vezes e tenho links para fontes oficiais da Microsoft. Você deve lê-los:

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in -seu.html http://www.mdmarra.com/2013/07/more-documentation-from-microsoft-about.html

Se você deseja a versão curta:

Não crie novas florestas do Active Directory com o mesmo nome que um nome DNS externo. Por exemplo, se a URL do DNS da Internet for http://contoso.com , você deverá escolher um nome diferente para sua floresta interna para evitar problemas futuros de compatibilidade. Esse nome deve ser exclusivo e improvável para o tráfego da web. Por exemplo: corp.contoso.com.

- http://technet.microsoft.com/en-us/library/jj574166.aspx

MDMarra
fonte
Além disso, você pode configurar um CNAME "exemplo" simples no DNS (tecnicamente exemplo.exemplo.org) e apontar para www.exemplo.org. Então você pode simplesmente dizer aos usuários para acessar http://example. Bobo, é claro, caso contrário, o número 3 da lista do MDMarra é a única solução simples para o problema. Estive lá (split-dns) e não é divertido lidar com isso.
TheCleaner
Enquanto "exemplo" não for o nome NetBIOS do seu domínio. Se for, posso imaginar que inferno isso seria em um ambiente como esse.
mfinni
Vou receber algumas informações sobre a migração para um nome adequado; só tenho um pouco de medo de obter problemas com isso. O problema é com o meu Monitoramento Nagios que eu uso para se certificar de que www.example.orge example.orgé bom a partir externo. Aqui vou encontrar uma alternativa para a minha configuração, desde que eu tenha / não migrarei. Thx
Max
Eu só quero atualizar a resposta ... embora ela já tenha sido a recomendação de melhores práticas da Microsoft, a RFC a substitui, pois interfere no zeroconf (mDNS). Além disso, este artigo do TechNet não é recomendável (a partir de 2012), especialmente se você deseja integrar seu ambiente do AD ao Office 365 ou usar Macs no seu domínio, pois ambos acontecem onde eu trabalho. Uma solução alternativa observou seria a utilização de uma zona de separação, como [detalhado aqui] ( social.technet.microsoft.com/Forums/windowsserver/en-US/...
3
@stevenh leia o artigo ao qual você vinculou novamente. Isso ecoa minha resposta completamente. Ao mudar para o office 365 com uma identidade híbrida, você deve definir o nome do principal do usuário para corresponder ao endereço SMTP principal de cada usuário. Isso é completamente independente do nome do seu diretório. Minha resposta foi válida quando eu postei e ainda é válida hoje.
MDMarra 19/09/2015
4

Se você estiver executando o Exchange no controlador de domínio, não configure um PortProxy - isso pode ser desnecessário, mas interromperá os serviços do Exchange hospedados na porta 80.

Sei que este post é bastante antigo, mas você ainda pode fazer isso sem instalar o IIS nos controladores de domínio. Em cada controlador de domínio, execute o seguinte comando para portproxy porta 80 para o servidor da web externo.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}
Kevin Hayashi
fonte
isso requer que o servidor da web seja acessível pelo controlador de domínio. Mas não menos uma maneira agradável. Então você pode redirecionar para www. versão para tirar o trabalho do DC. (Pro tipp: eu penso necessidades PORTPROXY serviço "ip helper" do Windows)
Max
0

Portanto, não sei se isso escapou a mais alguém, mas a melhor solução para esse problema pode ser apenas obter um domínio secundário com um sufixo diferente, especialmente se você não puder PortProxy porque o Exchange está no controlador de domínio (ou devido a problemas com os hosts) com o seu host.)

ex: se o domínio interno do AD for EXAMPLE.com - você deve simplesmente comprar o EXAMPLE.NET para uso interno.

Esta é a solução alternativa mais barata e mais simples para acesso interno à Web.

Isso funcionou para nós.

Doom
fonte
0

se você quiser usar a URL como domínio, use nomes de máquinas como dc1.example.com e dc2.example.com para cada servidor

verifique se o CNAME está configurado para cada servidor corretamente para o endereço IP do servidor adequado

Consegui fazer isso criando um CNAME primeiro e depois configurando os servidores. Aguarde um dia para que os registros DNS sejam propagados

Fanático Vegano
fonte
-2

Você pode resolver seu problema de duas maneiras, mas isso envolve a colocação de um servidor HTTP em seus controladores de domínio:

Você pode fazer o redirecionamento com um redirecionamento de URL (código HTTP 301), o IIS 7 pode fazer isso por você ou instalar um proxy reverso (Apache para Windows) e usar o seguinte código:

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost ativado

Bruno Mairlot
fonte
1
Isso está incluído na resposta do MDMarra; é item 2.
mfinni