Mon nom de site Web public et mon nom de domaine AD sont identiques. Comment accéder à mon site Web externe depuis mon réseau?

15

J'utilise mon domaine example.orgdans mon entreprise. Je peux utiliser www.example.orgpour consulter mon site Web. Si j'essaie http://example.orgde l'extérieur de mon entreprise, il n'y a pas de problème, mais si je l'essaie de l'intérieur, mes serveurs DNS Windows fournissent les adresses IP des contrôleurs de domaine.

Comment puis-je résoudre ça? Puis-je empêcher mes contrôleurs de domaine de s'inscrire comme example.orgdans mon DNS et est-ce que ce sera un problème pour mon environnement?

domain-name-system active-directory domain Max
la source
Pour clarifier, le nom DNS de votre réseau interne est example.org, et non quelque chose comme example.local?
DanBig
6
Vous pouvez résoudre ce problème en nommant votre domaine correctement, cela devrait ressembler à ad.example.org, ou corp.example.org. Si ce n'est plus possible, vous êtes coincé. Le mieux que vous puissiez faire est de configurer une redirection vers www.example.orgtous les contrôleurs de domaine sur lesquels IIS est également installé (une mauvaise idée, mais de nombreux contrôleurs de domaine sont mal configurés).
Chris S
2
"Puis-je empêcher mes contrôleurs de domaine de s'inscrire en tant qu'exemple.org dans mon DNS" - non. "et est-ce que ce sera un problème pour mon environnement?" - OUI!
mfinni

Réponses:

29

Si vous avez nommé votre Active Directory, example.orgvous ne pouvez pas empêcher cela. Vous êtes allé à l'encontre des meilleures pratiques de Microsft pour nommer un AD et vous voyez l'un des symptômes.

Vous avez quelques choix:

  1. Migrez vers un AD correctement nommé. Quelque chose comme corp.example.org.

  2. Installez un serveur Web sur chaque contrôleur de domaine et configurez-le pour transférer les demandes Web example.orgvers www.example.org. C'est sale et ne devrait pas être fait, mais c'est néanmoins une option.

  3. Formez vos utilisateurs à aller en www.example.orginterne.

J'ai blogué à plusieurs reprises sur les meilleures pratiques de dénomination AD et un lien vers des sources officielles de Microsoft. Vous devriez les lire:

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in -votre.html http://www.mdmarra.com/2013/07/more-documentation-from-microsoft-about.html

Si vous voulez la version courte:

Ne créez pas de nouvelles forêts Active Directory avec le même nom qu'un nom DNS externe. Par exemple, si votre URL DNS Internet est http://contoso.com , vous devez choisir un nom différent pour votre forêt interne pour éviter de futurs problèmes de compatibilité. Ce nom doit être unique et peu probable pour le trafic Web. Par exemple: corp.contoso.com.

- http://technet.microsoft.com/en-us/library/jj574166.aspx

MDMarra
la source
De plus, vous pouvez configurer un simple "exemple" CNAME dans DNS (example.example.org techniquement) et le faire pointer vers www.example.org. Ensuite, vous pouvez simplement dire aux utilisateurs d'y aller http://example. Stupide bien sûr, sinon le n ° 3 dans la liste de MDMarra est la seule solution simple au problème. J'y suis allé (split-dns) et ce n'est pas amusant à gérer.
TheCleaner
Tant que "exemple" n'est pas le nom NetBIOS de votre domaine. Si c'est le cas, je peux imaginer quel joyeux enfer cela jouerait dans un tel environnement.
mfinni
Je vais me procurer des informations sur la migration vers un nom correct, j'ai juste un peu peur de rencontrer des problèmes. Le problème est avec mon Nagios surveillance que j'utilise pour faire en sorte que www.example.orget example.orgest très bien d'extérieur. Ici, j'irai et trouverai une alternative pour ma configuration tant que j'ai / ne migrerai pas. Thx
Max
Je veux juste mettre à jour la réponse ... alors qu'elle était autrefois la meilleure recommandation de Microsoft, RFC la remplace, car elle interfère avec le zeroconf (mDNS). En outre, cet article TechNet le recommande (à partir de 2012), surtout si vous cherchez à intégrer votre environnement AD à Office 365 ou à utiliser des Mac sur votre domaine, car nous avons tous les deux lieu où je travaille. Une solution de contournement notée serait d'utiliser une zone divisée, comme [détaillé ici] ( social.technet.microsoft.com/Forums/windowsserver/en-US/…
3
@stevenh a lu à nouveau l'article auquel vous avez lié. Cela fait écho à ma réponse. Lorsque vous passez à Office 365 avec une identité hybride, vous devez définir le nom principal de l'utilisateur pour qu'il corresponde à l'adresse SMTP principale de chaque utilisateur. Ceci est complètement indépendant du nom de votre répertoire. Ma réponse était valide lorsque je l'ai publiée et elle est toujours valable aujourd'hui.
MDMarra
4

Si vous exécutez Exchange sur le contrôleur de domaine, ne configurez pas un PortProxy - cela peut aller de soi mais cela interrompra les services Exchange hébergés sur le port 80.

Je me rends compte que ce message est assez ancien, mais vous pouvez toujours le faire sans installer IIS sur les contrôleurs de domaine. Sur chaque contrôleur de domaine, exécutez la commande suivante sur le port 80 du portproxy vers le serveur Web externe.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}
Kevin Hayashi
la source
cela nécessite que le serveur Web soit accessible à partir du contrôleur de domaine. Mais non moins une belle façon. Ensuite, vous pouvez rediriger vers www. version pour prendre le travail du DC. (Astuce Pro: je pense que Portproxy a besoin du service "ip helper" de Windows)
Max
0

Donc, je ne sais pas si cela a éludé quelqu'un d'autre, mais le meilleur correctif pour ce problème peut simplement être d'obtenir un domaine secondaire avec un suffixe différent, surtout si vous ne pouvez pas PortProxy en raison d'Exchange étant sur le contrôleur de domaine (ou à cause de problèmes d'hostheaders avec votre hébergeur.)

ex: si le domaine AD interne est EXAMPLE.com - vous devez simplement acheter EXAMPLE.NET pour un usage interne.

Il s'agit de la solution de contournement la moins chère et la plus simple pour l'accès Web interne.

Cela a fonctionné pour nous.

Condamner
la source
0

si vous souhaitez utiliser l'URL en tant que domaine, utilisez des noms de machines tels que dc1.example.com et dc2.example.com pour chaque serveur

assurez-vous que le CNAME est correctement configuré pour chaque serveur pour la bonne adresse IP du serveur

J'ai pu le faire en créant d'abord un CNAME puis en configurant les serveurs, en attendant un jour que les enregistrements DNS se propagent

Fanatique végétalien
la source
-2

Vous pouvez résoudre votre problème de deux manières, mais cela implique de placer un serveur HTTP sur vos contrôleurs de domaine:

Vous pouvez effectuer la redirection avec une redirection d'URL (code HTTP 301), IIS 7 peut le faire pour vous, ou vous pouvez installer un proxy inverse (Apache pour Windows) et utiliser le code suivant:

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost On

Bruno Mairlot
la source
1
Cela est inclus dans la réponse de MDMarra; c'est le point 2.
mfinni