내 공개 웹 사이트 이름과 AD 도메인 이름이 동일합니다. 네트워크 내부에서 외부 웹 사이트에 접속하려면 어떻게해야합니까?

15

example.org회사에서 도메인 을 사용하고 있습니다 . www.example.org웹 사이트를 보는 데 사용할 수 있습니다 . http://example.org회사 외부에서 시도해 도 문제는 없지만 내부에서 시도하면 Windows DNS 서버가 도메인 컨트롤러의 IP를 제공합니다.

이 문제를 어떻게 해결할 수 있습니까? 내 DC example.org가 내 DNS에 등록되는 것을 막을 수 있습니까? 이것이 환경에 문제가됩니까?

domain-name-system active-directory domain

— 맥스
소스

명확히하기 위해 내부 네트워크 DNS 이름은 example.org가 아닌 example.org입니까?

— DanBig

6

당신은 같은 것을해야 제대로 도메인 이름을 지정하여이를 해결할 수 있습니다 ad.example.org, 또는 corp.example.org. 그것이 더 이상 가능하지 않으면 당신은 붙어 있습니다. www.example.orgIIS를 설치 한 DC 에서 리디렉션을 설정하는 것이 가장 좋습니다 (잘못된 생각이지만 많은 도메인 컨트롤러가 잘못 설정되어 있음).

— 크리스 S

2

"DNS에서 DC가 example.org로 등록되는 것을 막을 수 있습니까?" "그리고 이것은 내 환경에 문제가 될 것입니까?" - 예!

— mfinni

29

Active Directory의 이름을 지정한 경우 example.org이를 방지 할 수 없습니다. AD 이름을 지정하기위한 Microsft의 모범 사례에 위배되었으며 증상 중 하나가 나타납니다.

몇 가지 선택 사항이 있습니다.

적절한 이름의 AD로 마이그레이션하십시오. 같은 것 corp.example.org.
각 DC에 웹 서버를 설치하기위한 웹 요청을 전달하도록 구성 example.org하는 www.example.org. 이것은 더럽고 수행해서는 안되지만 그럼에도 불구하고 옵션입니다.
사용자가 www.example.org내부 로 이동하도록 훈련시킵니다 .

AD 명명 모범 사례를 여러 번 블로그하고 공식 Microsoft 소스에 연결했습니다. 읽어야합니다.

http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.html http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in -your.html http://www.mdmarra.com/2013/07/more-documentation-from-microsoft-about.html

짧은 버전을 원한다면 :

외부 DNS 이름과 동일한 이름으로 새 Active Directory 포리스트를 만들지 마십시오. 예를 들어 인터넷 DNS URL이 http://contoso.com 인 경우 향후 호환성 문제를 피하기 위해 내부 포리스트의 다른 이름을 선택해야합니다. 이 이름은 고유해야하며 웹 트래픽에 적합하지 않아야합니다. 예를 들면 다음과 같습니다. corp.contoso.com.

-http : //technet.microsoft.com/en-us/library/jj574166.aspx

— MDMarra
소스

또한 DNS에 간단한 "예제"CNAME (예 : 기술적으로 example.example.org)을 설정하고 www.example.org를 가리킬 수 있습니다. 그런 다음 사용자에게로 이동하도록 지시 할 수 있습니다 http://example. 물론 MDMarra의 목록에서 # 3 은이 문제에 대한 유일한 간단한 해결책입니다. 나는 거기에 있었고 (split-dns) 다루기가 즐겁지 않습니다.

— TheCleaner

"example"이 도메인의 NetBIOS 이름이 아닌 한. 그렇다면 그러한 환경에서 이것이 어떤 기분 좋은 지옥인지 상상할 수 있습니다.

— mfinni

적절한 이름으로 마이그레이션하는 것에 대한 정보를 얻을 것입니다. 문제를 해결하는 것이 조금 두렵습니다. 문제는 내가 있는지 확인하는 데 사용하는 내 Nagios의 모니터링 함께 www.example.org하고 example.org미세한 외부에서입니다. 여기에 내가 마이그레이션하거나 마이그레이션하지 않는 한 내 설정에 대한 대안을 찾을 것입니다. Thx

— Max

나는 대답을 업데이트하고 싶습니다 ... 이것은 Microsoft의 모범 사례 권장 사항이지만 RFC는 zeroconf (mDNS)를 방해하기 때문에 그것을 대체합니다. 또한이 TechNet 기사 는 특히 2012 년 현재 AD 환경을 Office 365와 통합하거나 도메인에서 Mac을 사용하려는 경우에 권장합니다. 언급 한 해결 방법은 [여기 상세한 (같은 분할 영역을 사용하는 것 social.technet.microsoft.com/Forums/windowsserver/en-US/...

3

@stevenh는 다시 연결 한 기사를 읽습니다. 내 대답이 완전히 반향됩니다. 하이브리드 ID를 사용하여 office 365로 이동하는 경우 각 사용자의 기본 SMTP 주소와 일치하도록 사용자 프린시 펄 이름을 설정해야합니다. 이것은 디렉토리 이름과 완전히 독립적입니다. 내 답변은 게시 할 때 유효했으며 오늘도 여전히 유효합니다.

— MDMarra

4

DC에서 Exchange를 실행하는 경우 PortProxy를 설정하지 마십시오. 아무 말없이 진행될 수 있지만 포트 80에서 호스팅되는 Exchange 서비스가 중단됩니다.

이 게시물은 꽤 오래되었지만 DC에 IIS를 설치하지 않고도이 작업을 수행 할 수 있습니다. 모든 DC에서 다음 명령을 실행하여 프록시 포트 80을 외부 웹 서버로 포트하십시오.

netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}

— 케빈 하야시
소스

이를 위해서는 DC에서 웹 서버에 연결할 수 있어야합니다. 그러나 비 좋은 방법은 아닙니다. 그런 다음 www로 리디렉션 할 수 있습니다. DC에서 작업을 수행하는 버전입니다. (Pro tipp : portproxy는 "ip helper"윈도우 서비스가 필요하다고 생각합니다)

— Max

0

따라서 이것이 다른 사람을 회피했는지는 모르겠지만이 문제에 대한 가장 좋은 해결책은 다른 접미사가있는 보조 도메인을 얻는 것일 수 있습니다. 특히 DC에 Exchange가 있기 때문에 PortProxy를 사용할 수 없거나 호스트 헤더 문제로 인해 웹 호스트와 함께)

예 : 내부 AD 도메인이 EXAMPLE.com 인 경우 EXAMPLE.NET을 구매하면 됩니다. 내부 용.

내부 웹 액세스를위한 가장 저렴하고 간단한 해결 방법입니다.

그것은 우리를 위해 일했습니다.

— 운명
소스

0

URL을 도메인으로 사용하려면 각 서버에 대해 dc1.example.com 및 dc2.example.com과 같은 시스템 이름을 사용하십시오.

올바른 서버 IP 주소에 대해 각 서버에 CNAME이 올바르게 설정되어 있는지 확인하십시오.

CNAME을 먼저 만든 다음 서버를 설정하고 DNS 레코드가 전파 될 때까지 하루를 기다려서이 작업을 수행 할 수있었습니다.

— 비건 광신자
소스

-2

두 가지 방법으로 문제를 해결할 수 있지만 DC에 HTTP 서버를 배치해야합니다.

URL 리디렉션 (HTTP 301 코드)으로 리디렉션을 수행하거나 IIS 7에서이를 수행하거나 리버스 프록시 (Apache for Windows)를 설치하고 다음 코드를 사용할 수 있습니다.

ProxyPass / http://www.example.com/

ProxyPassRever / http://www.example.com/

ProxyPreserveHost 켜기

— 브루노 메이 롯
소스

1

이것은 MDMarra의 답변에 포함되어 있습니다. 항목 2입니다.

— mfinni