Mein öffentlicher Website-Name und mein AD-Domain-Name sind identisch. Wie kann ich von meinem Netzwerk aus auf meine externe Website zugreifen?

15

Ich benutze meine Domain example.orgin meiner Firma. Ich kann www.example.orgmeine Website anzeigen. Wenn ich es http://example.orgvon außerhalb meiner Firma aus versuche, gibt es kein Problem. Wenn ich es jedoch von innen aus versuche, geben meine Windows-DNS-Server die IP-Adressen von Domänencontrollern aus.

Wie kann ich das lösen? Kann ich verhindern, dass sich meine DCs wie example.orgin meinem DNS registrieren, und ist dies ein Problem für meine Umgebung?

domain-name-system active-directory domain Max
quelle
Zur Verdeutlichung lautet der DNS-Name Ihres internen Netzwerks example.org und nicht example.local?
DanBig
6
Sie können dieses Problem lösen , indem Sie Ihre Domain korrekt zu benennen, sollte es so etwas wie ad.example.org, oder corp.example.org. Wenn das nicht mehr möglich ist, steckst du fest. Das Beste, was Sie tun können, ist, eine Umleitung www.example.orgauf alle Domänencontroller einzurichten, auf denen auch IIS installiert ist (eine schlechte Idee, aber viele Domänencontroller sind schlecht eingerichtet).
Chris S
2
"Kann ich verhindern, dass sich meine DCs in meinem DNS als example.org registrieren" - nein. "Und wird das ein Problem für meine Umwelt sein?" - JA!
MFINNI

Antworten:

29

Wenn Sie Ihr Active Directory benannt haben example.org, können Sie dies nicht verhindern. Sie haben gegen die bewährten Methoden von Microsft verstoßen, um eine AD zu benennen, und Sie sehen eines der Symptome.

Sie haben ein paar Möglichkeiten:

  1. Migrieren Sie zu einem ordnungsgemäß benannten AD. So etwas wie corp.example.org.

  2. Installieren Sie auf jedem Domänencontroller einen Webserver und konfigurieren Sie ihn so, dass Webanforderungen example.organ weitergeleitet werden www.example.org. Das ist schmutzig und sollte nicht gemacht werden, aber es ist trotzdem eine Option.

  3. Trainieren Sie Ihre Benutzer für den www.example.orginternen Zugriff.

Ich habe mehrmals über Best Practices für die AD-Benennung gebloggt und einen Link zu offiziellen Microsoft-Quellen erstellt. Sie sollten sie lesen:

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-ouldnt-use-local-in -ihr.html http://www.mdmarra.com/2013/07/mehr-dokumentation-von-microsoft-über.html

Wenn Sie die Kurzversion wollen:

Erstellen Sie keine neuen Active Directory-Gesamtstrukturen mit demselben Namen wie ein externer DNS-Name. Wenn Ihre Internet-DNS-URL beispielsweise http://contoso.com lautet , müssen Sie einen anderen Namen für Ihre interne Gesamtstruktur auswählen, um zukünftige Kompatibilitätsprobleme zu vermeiden. Dieser Name sollte eindeutig und für den Webverkehr unwahrscheinlich sein. Zum Beispiel: corp.contoso.com.

- http://technet.microsoft.com/en-us/library/jj574166.aspx

MDMarra
quelle
Darüber hinaus können Sie einen einfachen "Beispiel" -CNAME in DNS einrichten (beispiel.beispiel.org technisch) und ihn auf www.beispiel.org verweisen lassen. Dann können Sie den Benutzern einfach mitteilen, dass sie zu gehen haben http://example. Dumm natürlich, sonst ist # 3 in MDMarras Liste die einzige einfache Lösung für das Problem. Ich war dort (split-dns) und es macht keinen Spaß, damit umzugehen.
TheCleaner
Solange "example" nicht der NetBIOS-Name für Ihre Domain ist. Wenn ja, kann ich mir vorstellen, wie viel Spaß das in einer solchen Umgebung machen würde.
MFINNI
Ich werde mir ein paar Informationen über die Migration zu einem richtigen Namen besorgen. Ich habe nur ein bisschen Angst davor, Probleme zu bekommen. Das Problem ist mit meinem Nagios - Monitoring , die ich machen verwenden , um sicherzustellen , dass www.example.orgund example.orgfein von extern ist. Hier werde ich eine Alternative für mein Setup finden, solange ich migriert habe / nicht migrieren werde. Thx
Max
Ich möchte nur die Antwort aktualisieren ... während es einst die Best-Practice-Empfehlung von Microsoft war, ersetzt RFC sie, da sie mit zeroconf (mDNS) interferiert. Außerdem wird in diesem TechNet-Artikel (ab 2012) davon abgeraten, insbesondere, wenn Sie Ihre AD-Umgebung in Office 365 integrieren oder Macs in Ihrer Domäne verwenden möchten, da beide Vorgänge dort stattfinden, wo ich arbeite. Eine bekannte Problemumgehung wäre die Verwendung einer geteilten Zone, wie [hier beschrieben] ( social.technet.microsoft.com/Forums/windowsserver/en-US/…
3
@stevenh lies den Artikel, den du verlinkt hast. Es gibt meine Antwort vollständig wieder. Wenn Sie mit einer Hybrididentität zu Office 365 wechseln, sollten Sie den Benutzerprinzipalnamen so festlegen, dass er mit der primären SMTP-Adresse jedes Benutzers übereinstimmt. Dies ist völlig unabhängig vom Namen Ihres Verzeichnisses. Meine Antwort war gültig, als ich sie gepostet habe und sie ist bis heute gültig.
MDMarra,
4

Wenn Sie Exchange auf dem DC ausführen, richten Sie keinen PortProxy ein. Dies ist zwar selbstverständlich, führt jedoch zu einer Unterbrechung der auf Port 80 gehosteten Exchange-Dienste.

Mir ist klar, dass dieser Beitrag ziemlich alt ist, aber Sie können dies trotzdem tun, ohne IIS auf den DCs zu installieren. Führen Sie auf jedem Domänencontroller den folgenden Befehl aus, um Port 80 an den externen Webserver zu übergeben.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}
Kevin Hayashi
quelle
Voraussetzung ist, dass der Webserver vom DC aus erreichbar ist. Aber trotzdem ein schöner Weg. Dann könnten Sie zu www umleiten. Version, um die Arbeit aus dem DC zu nehmen. (Pro tipp: ich denke portproxy braucht "ip helper" service von windows)
Max
0

Ich weiß also nicht, ob dies jemand anderem entgangen ist, aber die beste Lösung für dieses Problem besteht möglicherweise darin, eine sekundäre Domäne mit einem anderen Suffix zu erhalten, insbesondere, wenn Sie PortProxy aufgrund von Exchange auf dem Domänencontroller nicht ausführen können (oder aufgrund von Problemen mit Hostheadern) mit Ihrem Webhost.)

Beispiel: Wenn die interne AD-Domain " EXAMPLE.com" lautet, sollten Sie BEISPIEL.NET einfach für den internen Gebrauch erwerben .

Dies ist die kostengünstigste und einfachste Lösung für den internen Webzugriff.

Das hat bei uns geklappt.

Untergang
quelle
0

Wenn Sie die URL als Domain verwenden möchten, verwenden Sie für jeden Server Computernamen wie dc1.example.com und dc2.example.com

Stellen Sie sicher, dass der CNAME für jeden Server richtig für die richtige Server-IP-Adresse eingerichtet ist

Ich konnte dies tun, indem ich zuerst einen CNAME erstellte und dann die Server einrichtete. Warten Sie einen Tag, bis die DNS-Einträge vorliegen

Veganer Fanatiker
quelle
-2

Sie können Ihr Problem auf zwei Arten lösen, aber dazu müssen Sie einen HTTP-Server auf Ihren Domänencontrollern installieren:

Sie können die Umleitung mit einer URL-Umleitung (HTTP 301-Code) durchführen, IIS 7 kann dies für Sie tun, oder Sie können einen Reverseproxy (Apache für Windows) installieren und den folgenden Code verwenden:

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost On

Bruno Mairlot
quelle
1
Dies ist in der Antwort von MDMarra enthalten. Es ist Gegenstand 2.
Mfinni