我(我们的小组)已经使用裸域进行 Active Directory 相当长一段时间了,一开始我们就知道如果不进行大量设置,它就无法用于其他用途。当时这似乎没什么大不了的,因为无论如何你都可以使用 www. 子域,但现在在浏览器和草图上看到它,看起来就不那么好了。
从外部来看,访问它(裸域上的 Web 内容)没有问题,代理会处理它,但从内部来看,请求自然会转到域控制器。网络是子网,因此,代理再次解决了重定向端口的一半问题,但域控制器子网上仍有一组客户端无法访问 Web 服务器。
IIS 有 ARR 这个东西,可以转发代理流量,但不能处理安全流量。你能想到另一种方法,我们可以将网络流量代理或重新路由到网络服务器(并继续使用标准端口)吗?
我能想到的唯一办法就是完全隔离 DC,但这意味着要更改大量设备的 IP 地址,而很多设备我们都记不住网络中的 IP 地址,这会让他们感到不安,因为如果他们不干扰 DHCP 服务器,他们基本上就会进入隐身模式。这会花很长时间。
我确实有另一个想法,但我不知道它会造成多大的损害,比如说服务器网络;
10.0.0.1 到 10.0.3.254,一个 /22 网络,但设备仅分配在其中的第一个 /24 段中,而 DC 实际上位于第二个 /24 的开头:10.0.1.1、10.0.1.2 等等。
所以我想,也许如果我将子网掩码从 /22 减少到 /24,那么当我创建 VLAN 并移动东西时,通信就不会丢失,即使我必须一直从 0.1 一直到 3.254 一个接一个地更改 IP 地址。该子网的 DHCP 分配在第三个 /24 段中,即 10.0.2.0 块中。我不知道是否有可能出现风暴,也不知道我会陷入什么样的困境,我想着或者进入 Quora,但刚要发帖时想起了这个地方,它曾无数次让我摆脱困境。
万分感谢!