快问快答,我们有一个 Windows AD 域“company.com”,计算机已加入此 Windows 域“company.com”,并且我们在“www.company.com”上还有一个 Web 服务器。上级要求我们的网站也响应“company.com”(不带 www)。由于这是我们的 AD 域名,是否有某种技巧可以让我仅将“company.com”上的端口 80 流量指向 Web 服务器,或者我必须在所有 AD 服务器上运行 IIS/重定向?
答案1
这是 AD 管理员和架构师常犯的一个错误。将您的 AD 域命名为与公司的公共域相同的名称是一个错误。我不是说您个人犯了这个错误,而是说决定将 Active Directory 域命名为“company.com”的人犯了这个错误。
你应该已将 AD 域命名为“internal.company.com”或“corp.company.com”或类似名称。但除非您愿意进行 AD 重命名,否则我猜现在一切都已成定局。
其他人在其域控制器上安装了 IIS,其唯一目的是将 TCP 端口 80 上的请求重定向到其外部公司的网站。
我强烈反对这种做法,因为 IIS 是一个大型、功能齐全的 Web 服务器,会给您的 DC 增加许多不必要的攻击面。(这不会影响 IIS 或其安全性,但从技术上讲,向您的 DC 添加任何其他角色都会增加潜在的攻击面。)
也许你可以考虑使用如下方法:
https://github.com/ryanries/TinyWebRedirector
免责声明:这是我写的,但它不附带任何担保或保证。