Le site Web et le domaine Active Directory partagent le même nom

16

Dans notre réseau, le nom du domaine du réseau est également le domaine du site Web de l'organisation (par exemple, example.com). En externe, les gens peuvent entrer example.compour visiter notre site Web, mais en interne, cela pointe vers l'un des nombreux contrôleurs de domaine que nous avons pour Active Directory, dont certains n'exécutent même pas de serveur Web.

En conséquence, les liens vers http://example.comne fonctionnent pas en interne ( only www.example.comfonctionne en interne).

Comment pouvons-nous diriger les requêtes http de manière transparente vers le serveur Web, et quels effets secondaires cela a-t-il?

windows domain-name-system active-directory svandragt
la source

Réponses:

16

Il n'y a pas de solution facile pour ce que vous voulez.

Vous ne voulez pas utiliser le même nom de domaine en interne comme il fait déjà autorité pour autre chose sur Internet. Vous apprenez maintenant pourquoi.

S'il n'est pas trop tard pour changer le nom de domaine AD en quelque chose d'autre, je recommanderais de le faire.

Sinon, vous avez deux choix:

  • Exécutez un site Web de "redirection" sur tous les contrôleurs de domaine (puisque chacun répond pour "domain.com") pour rediriger les demandes vers un autre nom d'hôte (comme, par exemple, www.domain.com).

  • Dites simplement aux utilisateurs que "domain.com" ne fonctionne pas pour accéder au site Web de l'entreprise.

Si vous faites un tour avec l'enregistrement A pour le nom de domaine AD en essayant de le "pointer" vers une adresse externe, vous romprez les références DFS pour le SYSVOL et paralyserez la stratégie de groupe sur tous vos ordinateurs.

C'est la principale raison pour laquelle je recommande aux clients d'utiliser un nom de domaine de second niveau de style "ad.company.com". Sauf si vous avez de très bonnes raisons, vous ne devez jamais créer une zone sur un serveur DNS pour laquelle certains autres serveurs DNS sur Internet font déjà autorité, même si c'est à l'intérieur d'un LAN privé. Finalement, vous voudrez connecter votre réseau local privé à Internet et les noms en conflit vous poseront des problèmes.

Evan Anderson
la source
Je recommanderais quelque chose comme corp.company.com plutôt que company.local; les pratiques recommandées sont que les noms de domaine sont utilisables sur Internet.
James Risto
J'ai toujours été attaché à "ad.company.com", personnellement. Il n'y aura probablement jamais de véritable TLD ".local", avec autant d'installations l'utilisant déjà pour le nommage interne.
Evan Anderson
2
Vous voudrez peut-être faire attention si vous avez des clients OS X, cependant: ils utilisent .local pour l'emplacement du service Bonjour. Cela nous a posé des problèmes intéressants jusqu'à ce que nous découvrions ce qui se passait.
RainyRat
4

Changer l'emplacement que example.com pointe sur DNS n'est évidemment pas une bonne idée, car il doit pointer vers le contrôleur de domaine. Vous pouvez configurer IIS sur le contrôleur de domaine avec un exemple pour example.com qui transmet simplement la demande à www.example.com.

Sam Cogan
la source