J'utilise mon domaine example.org
dans mon entreprise. Je peux utiliser www.example.org
pour consulter mon site Web. Si j'essaie http://example.org
depuis mon site, il n'y a pas de problème, mais si je l'essaie de l'intérieur, mes serveurs DNS Windows fournissent les IP des contrôleurs de domaine.
Comment puis-je resoudre ceci? Puis-je empêcher mes contrôleurs de domaine de s'enregistrer en tant que example.org
dans mon DNS et cela posera-t-il un problème pour mon environnement?
Si vous avez nommé votre Active Directory example.org
alors vous ne pouvez pas empêcher cela. Vous êtes allé à l'encontre des meilleures pratiques de Microsft pour nommer un AD et vous voyez l'un des symptômes.
Vous avez quelques choix:
Migrez vers un AD correctement nommé. Quelque chose comme corp.example.org
.
Installez un serveur Web sur chaque DC et configurez-le pour transférer les demandes Web pour example.org
à www.example.org
. C'est sale et ne devrait pas être fait, mais c'est néanmoins une option.
Formez vos utilisateurs à accéder à www.example.org
en interne.
J'ai blogué à plusieurs reprises sur les meilleures pratiques de dénomination AD et un lien vers des sources Microsoft officielles. Vous devriez les lire:
http://www.mdmarra.com/2013/04/best-practices-for-configuring-new.htmlhttp://www.mdmarra.com/2012/11/ pourquoi-vous-ne-devez-pas-utiliser-local-dans-votre.htmlhttp://www.mdmarra.com/2013/07/more-documentation-from-Microsoft-about.html
Si vous voulez la version courte:
Ne créez pas de nouvelles forêts Active Directory avec le même nom qu'un nom DNS externe. Par exemple, si votre URL DNS Internet est http://contoso.com , vous devez choisir un nom différent pour votre forêt interne pour éviter de futurs problèmes de compatibilité. Ce nom doit être unique et peu probable pour le trafic Web. Par exemple: corp.contoso.com.
Si vous exécutez Exchange sur le contrôleur de domaine, ne configurez pas un PortProxy - cela peut aller de soi mais cela interrompra les services Exchange hébergés sur le port 80.
Je me rends compte que ce message est assez ancien, mais vous pouvez toujours le faire sans installer IIS sur les contrôleurs de domaine. Sur chaque contrôleur de domaine, exécutez la commande suivante pour portproxy port 80 sur le serveur Web externe.
netsh interface portproxy add v4tov4 listenport=80 listenaddress={Static IP v4 address of DC) connectport=80 connectaddress={IP Address of public Web Server}
si vous souhaitez utiliser l'URL en tant que domaine, utilisez des noms de machine tels que dc1.example.com et dc2.example.com pour chaque serveur
assurez-vous que le CNAME est correctement configuré pour chaque serveur pour la bonne adresse IP du serveur
J'ai pu le faire en créant d'abord un CNAME puis en configurant les serveurs, en attendant un jour que les enregistrements DNS se propagent
Donc, je ne sais pas si cela a éludé quelqu'un d'autre, mais le meilleur correctif pour ce problème peut simplement être d'obtenir un domaine secondaire avec un suffixe différent, surtout si vous ne pouvez pas PortProxy à cause d'Exchange étant sur le DC (ou à cause de problèmes d'hostheaders avec votre hébergeur.)
ex: Si le domaine AD interne est EXAMPLE.com - alors vous devez simplement acheter EXAMPLE.NET pour un usage interne.
Il s'agit de la solution de contournement la moins chère et la plus simple pour l'accès Web interne.
Cela a fonctionné pour nous.