在我们的网络中,网络域名也是组织网站的域名(例如example.com
)。从外部来看,人们可以进入example.com
我们的网站,但从内部来看,这指向我们为 Active Directory 设置的几个域控制器之一,其中一些甚至不运行 Web 服务器。
因此,链接到http://example.com
内部不起作用(only www.example.com
在内部起作用)。
我们如何将 http 请求透明地指向 Web 服务器,以及这会产生什么副作用?
答案1
对于您想要的东西,没有简单的解决方案。
您不想在内部使用与互联网上其他内容相同的域名。现在您知道为什么了。
如果将 AD 域名更改为其他名称还不算太晚,我建议这样做。
如果没有,你有两个选择:
运行“重定向”网站全部域控制器(因为每个域控制器都回答“domain.com”)将请求重定向到另一个主机名(例如,www.domain.com)。
只需告诉用户“domain.com”无法访问公司网站。
如果您对 AD 域名的 A 记录进行修改并尝试将其“指向”外部地址,那么您将破坏 SYSVOL 的 DFS 引用,并破坏所有计算机上的组策略。
这是我建议客户使用“ad.company.com”类型的二级域名的最大原因。除非你有非常有充分理由表明您永远不应在 Internet 上其他 DNS 服务器已经拥有权限的 DNS 服务器上创建区域,即使该区域位于私有 LAN 内。最终,您会想要将私有 LAN 连接到 Internet,而冲突的名称会给您带来麻烦。
答案2
更改 example.com 在 DNS 上指向的位置显然不是一个好主意,因为它需要指向域控制器。您可以在 DC 上设置 IIS,为 example.com 设置一个站点,该站点只会将请求转发到 www.example.com。