我们有一个域名 abc.com,它也是外部网站的地址。现在我们遇到的问题是,当我们输入 www.abc.com 时,我们可以访问外部网站,但不能访问 abc.com。我们试图教育用户使用 www。但那行不通。所以我正在寻找其他方法来解决这个问题。我读到一个简单的解决方案是在 DC(我们只有一个)上安装 IIS 并设置转发。但是在 DC 上安装 IIS 会增加更多的攻击面,这是一个安全问题。现在我想知道除了安装 IIS 以转发端口 80 和 443 上的请求(例如使用 DNS 规则)之外,是否没有其他方法?或者也许是一个仅转发选定端口的请求的条件转发器?
谢谢
答案1
你现在陷入了处理糟糕的设计决策所带来的后果的困境。 :( 安装 IIS 并使用重定向进行配置是这解决这个问题的规范方法。没有 DNS 技巧可用,因为 DNS 不知道端口,也不了解 HTTP 请求。
您很聪明,质疑在域控制器上安装 IIs 是否明智(另外:您只有一个域控制器,这肯定会给您带来比 IIS 更大的问题),但目前,这是您需要承担的风险。确保 IIS 已安全配置,并且不会暴露任何超出需要的数据。
您的替代方案是重命名域,这将很麻烦,但您应该认真考虑。目前只有一个域控制器,这让我认为这是一个小型组织,因此重命名可能不太难完成。
答案2
既然您已经将外部域用作 AD 域,那么就无需再做其他事情了,如 EEAA 的回答中所述。真正的解决方案不是将其用作example.comAD 域,而是将其用作子域,例如ad.example.com用于此目的。
如果你决定更改你的 AD 域名,我想警告你另一个广泛使用但下解决方案:
- 购买不同的域名,例如
example.org。我认为这是不必要的浪费。 - 使用未注册的
example.local。这样,您就永远无法使用签名的 TLS 证书。
另请阅读 TechNet 文章:AD:内部域名和网络名称的最佳实践。