El sitio web y el dominio de Active Directory comparten el mismo nombre

16

En nuestra red, el nombre del dominio de la red también es el dominio del sitio web de la organización (por ejemplo, example.com). Externamente, las personas pueden ingresar example.compara visitar nuestro sitio web, pero internamente, esto apunta a uno de los varios controladores de dominio que tenemos para Active Directory, algunos de los cuales ni siquiera ejecutan un servidor web.

Como resultado de esto, los enlaces http://example.comno funcionan internamente ( only www.example.comfunciona internamente).

¿Cómo dirigimos las solicitudes http de forma transparente al servidor web y qué efectos secundarios tiene?

windows domain-name-system active-directory svandragt
fuente

Respuestas:

16

No hay una solución fácil para lo que quieres.

No desea utilizar internamente el mismo nombre de dominio que ya está autorizado para otra cosa en Internet. Ahora estás aprendiendo por qué.

Si no es demasiado tarde para cambiar el nombre de dominio de AD a otra cosa, recomendaría hacerlo.

Si no, tienes dos opciones:

  • Ejecute un sitio web de "redirección" en todos los controladores de dominio (ya que cada uno responde por "dominio.com") para redirigir las solicitudes a otro nombre de host (como, por ejemplo, www.dominio.com).

  • Solo dígales a los usuarios que "dominio.com" no funciona para acceder al sitio web de la empresa.

Si usa el registro A para el nombre de dominio AD tratando de "apuntarlo" a una dirección externa, romperá las referencias DFS para SYSVOL y paralizará la política de grupo en todas sus computadoras.

Esta es la razón principal por la que recomiendo que los Clientes usen un nombre de dominio de segundo nivel al estilo "ad.company.com". A menos que tenga muy buenas razones, nunca debe crear una zona en un servidor DNS para la que ya estén autorizados otros servidores DNS en Internet, incluso si está dentro de una LAN privada. Eventualmente, querrás conectar tu LAN privada a Internet y los nombres en conflicto te causarán problemas.

Evan Anderson
fuente
Recomendaría algo como corp.company.com en lugar de company.local; Las prácticas recomendadas son que los nombres de dominio se pueden usar en Internet.
James Risto
Siempre he sido parcial a "ad.company.com", personalmente. Probablemente nunca habrá un TLD ".local" real, lo que con tantas instalaciones ya lo usan para nombres internos.
Evan Anderson el
2
Sin embargo, es posible que desee tener cuidado si tiene clientes OS X: usan .local para la ubicación del servicio Bonjour. Eso nos dio algunos problemas interesantes hasta que resolvimos lo que estaba sucediendo.
RainyRat
4

Obviamente, cambiar la ubicación que example.com señala en DNS no es una buena idea, ya que debe apuntar al controlador de dominio. Puede configurar IIS en DC con un stite for example.com que simplemente reenvía la solicitud a www.example.com.

Sam Cogan
fuente