El nombre de mi sitio web público y el nombre de dominio de AD son iguales. ¿Cómo puedo acceder a mi sitio web externo desde mi red?

15

Estoy usando mi dominio example.orgen mi empresa. Puedo usar www.example.orgpara ver mi sitio web. Si lo intento http://example.orgdesde fuera de mi empresa, no hay problema, pero si lo intento desde adentro, mis servidores DNS de Windows entregan las IP de los controladores de dominio.

¿Como puedo resolver esto? ¿Puedo evitar que mis DC se registren como example.orgen mi DNS y esto será un problema para mi entorno?

domain-name-system active-directory domain Max
fuente
Para aclarar, el nombre DNS de su red interna es example.org, y no algo así como example.local?
DanBig
66
Puede resolver esto nombrando su dominio correctamente, debería ser algo como ad.example.org, o corp.example.org. Si eso ya no es posible, estás atrapado. Lo mejor que puede hacer es configurar una redirección a www.example.orgcualquier DC que también tenga IIS instalado (una mala idea, pero muchos controladores de dominio están mal configurados).
Chris S
2
"¿Puedo evitar que mis DC se registren como example.org en mi DNS" - no. "¿Y esto será un problema para mi entorno?" - ¡SI!
mfinni

Respuestas:

29

Si ha nombrado su Active Directory, example.orgentonces no puede evitar esto. Has ido en contra de las mejores prácticas de Microsft para nombrar un AD y estás viendo uno de los síntomas.

Tienes algunas opciones:

  1. Migrar a un AD con nombre adecuado. Algo así como corp.example.org.

  2. Instalar un servidor web en cada centro de distribución y configurarlo para reenviar las peticiones web para example.orga www.example.org. Esto está sucio y no debe hacerse, pero de todos modos es una opción.

  3. Entrena a tus usuarios para que vayan www.example.orginternamente.

He bloggeado sobre las mejores prácticas de nomenclatura de AD varias veces y enlace a fuentes oficiales de Microsoft. Deberías leerlos:

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in -your.html http://www.mdmarra.com/2013/07/more-documentation-from-microsoft-about.html

Si quieres la versión corta:

No cree nuevos bosques de Active Directory con el mismo nombre que un nombre DNS externo. Por ejemplo, si su URL DNS de Internet es http://contoso.com , debe elegir un nombre diferente para su bosque interno para evitar futuros problemas de compatibilidad. Ese nombre debe ser único e improbable para el tráfico web. Por ejemplo: corp.contoso.com.

- http://technet.microsoft.com/en-us/library/jj574166.aspx

MDMarra
fuente
Además, puede configurar un CNAME de "ejemplo" simple en DNS (por ejemplo, por ejemplo, técnicamente.org) y hacer que apunte a www.example.org. Entonces puedes decirles a los usuarios que vayan a http://example. Tonto, por supuesto, de lo contrario, el n. ° 3 en la lista de MDMarra es la única solución simple al problema. He estado allí (split-dns) y no es divertido tratar con ellos.
TheCleaner
Mientras "ejemplo" no sea el nombre NetBIOS para su dominio. Si es así, puedo imaginar qué feliz infierno jugaría esto en un entorno así.
mfinni
Obtendré algo de información sobre la migración a un nombre apropiado, solo tengo un poco de miedo de tener problemas a través de él. El problema es con mi Monitoreo Nagios que uso para asegurarse de que www.example.orgy example.orgestá muy bien desde el exterior. Aquí iré y encontraré una alternativa para mi configuración, siempre que tenga / no migre. Thx
Max
Solo quiero actualizar la respuesta ... aunque alguna vez fue la recomendación de mejores prácticas de Microsoft, RFC la reemplaza, ya que interfiere con zeroconf (mDNS). Además, este artículo de TechNet recomienda no hacerlo (a partir de 2012), especialmente si está buscando integrar su entorno de AD con Office 365 o utilizando Macs en su dominio, ya que ambos están sucediendo en mi lugar de trabajo. Una solución alternativa sería usar una zona dividida, como [se detalla aquí] ( social.technet.microsoft.com/Forums/windowsserver/en-US/…
3
@stevenh volvió a leer el artículo al que te vinculaste. Se hace eco de mi respuesta por completo. Al mudarse a Office 365 con una identidad híbrida, debe configurar el nombre principal del usuario para que coincida con la dirección SMTP principal de cada usuario. Esto es completamente independiente del nombre de su directorio. Mi respuesta fue válida cuando la publiqué y todavía es válida hoy.
MDMarra
4

Si está ejecutando Exchange en el DC, no configure un PortProxy; puede ser obvio pero interrumpirá los servicios de Exchange alojados en el puerto 80.

Me doy cuenta de que esta publicación es bastante antigua, pero aún puede hacerlo sin instalar IIS en los DC. En cada DC, ejecute el siguiente comando para portproxy port 80 al servidor web externo.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}
Kevin Hayashi
fuente
esto requiere que el servidor web sea accesible desde el DC. Pero no obstante, es una buena manera. Entonces podría redirigir a www. versión para tomar el trabajo del DC. (Consejo profesional: creo que portproxy necesita el servicio "ip helper" de windows)
Max
0

Por lo tanto, no sé si esto evadió a alguien más, pero la mejor solución para este problema puede ser obtener un dominio secundario con un sufijo diferente, especialmente si no puede PortProxy debido a que Exchange está en DC (o debido a problemas de hostheaders con tu proveedor de alojamiento web.)

Por ejemplo: si el dominio interno de AD es EXAMPLE.com , entonces simplemente debe comprar EXAMPLE.NET para uso interno.

Esta es la solución más barata y sencilla para el acceso web interno.

Eso funcionó para nosotros.

Condenar
fuente
0

si desea usar la URL como dominio, use nombres de máquina como dc1.example.com y dc2.example.com para cada servidor

asegúrese de que CNAME esté configurado para cada servidor correctamente para la dirección IP del servidor adecuado

He podido hacer esto creando primero un CNAME y luego configurando los servidores, espere un día a que se propaguen los registros DNS

Fanático vegano
fuente
-2

Puede resolver su problema de dos maneras, pero implica colocar un servidor HTTP en sus DC:

Puede hacer la redirección con una redirección de URL (código HTTP 301), IIS 7 puede hacerlo por usted, o puede instalar un proxy inverso (Apache para Windows) y usar el siguiente código:

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost On

Bruno Mairlot
fuente
1
Esto está incluido en la respuesta de MDMarra; es el artículo 2.
mfinni