如何在 Active Directory 中设置服务器别名

如何在 Active Directory 中设置服务器别名

我已经配置了 TFS 服务器,以便 IIS 站点绑定到 tfs.oursite.com。遗憾的是,目前任何想要访问它的人都需要将 tfs.oursite.com 添加到他们的 hosts 文件中。我该如何更新 Active Directory,以便域中的任何人都可以通过访问 tfs.oursite.com 来访问服务器?

编辑:不确定这是否会像我希望的那样工作。我将其设置为使用 tfs.oursite.com 的原因是我已经有一个 *.oursite.com 证书,该证书可以方便地用于 SSL。但 TFS 服务器所在的实际域的名称不同,并以 .net 结尾。

看来源和目标必须实际位于服务器的域中。我的理解正确吗?这是否意味着我不能这样做?如果不是,还有其他解决方案吗?

基本上,我只是想要与 hosts 文件相同的行为,但要应用于整个域,而不仅仅是本地计算机。这可能吗?

答案1

在您的 DNS 中添加指向服务器实际 A 记录的 CNAME/Alias:

在 Windows DNS 管理中,右键单击 oursite.com 正向查找区域,然后单击新建别名 (CNAME)。在别名字段中输入“tfs”,在 FQDN 字段中输入 TFS 服务器的实际 FQDN。通常您不想勾选“允许任何经过身份验证的用户更新 DNS 记录...”复选框

答案2

了解服务器的版本会很有帮助,但一般来说:

  • 打开服务器管理器
  • 导航至 DNS 服务器
  • 导航至正向查找区域
  • 打开你的区域(例如 oursite.com)
  • 在右侧区域单击鼠标右键,在菜单上选择新别名 (CNAME)
  • 写下您想要用作别名的新名称(例如:ourserver)
  • 写下您设备的正确 DNS 名称 (tfs.oursite.com)
  • 按 OK 就完成了

为了测试它是否有效,ping 新的别名,并且来自原始 NS 条目的 IP 应该会响应(当然,如果 ICMP 已正确启用并正常运行)。

答案3

因为您的内部 AD 域是,oursite.net​​并且您想要使用的域名是,所以tfs.ourdomain.com您将无法按照前面的答案中的建议在 AD dns 服务器中创建 CNAME 记录。

最简单的做法是tfs.ourdomain.com向托管您域的 DNS 服务器ourdomain.com(可能是第三方)添加 A 记录。如果 TFS 只能在内部访问,则可以使用私有 IP 地址作为该 A 记录。向攻击者暴露您的内部网络 IP 方案的风险非常小,但如果没有其他攻击媒介被利用,这些信息几乎毫无用处。如果您打算让 TFS 在外部可访问,则此方法是必需的。

或者,您可以将区域添加tfs.ourdomain.com到 AD DNS 服务器。此方法对于“仅供内部使用”的站点很有用,并消除了上一个建议中确定的风险。

  1. 开放DNS管理
  2. 添加新的 Active Directory 集成/主要区域。使用区域名称tfs.ourdomain.com
  3. 向区域添加新的 A 记录并将字段留空name,并指定 TFS 服务器的静态 IP。

答案4

我看到这里的所有其他答案都建议您向 DNS 区域数据库添加 A 记录或 CNAME 记录。但是,根据我的经验,我建议做一些略有不同的事情。

除了创建 DNS 记录之外,还有另一种方法。由于它不是域控制器,因此默认情况下它不会有此命令,因为它包含在 AD DS 角色中。但是,您可以安装 AD 的远程服务器管理工​​具,并且此命令应包含在安装中。安装后,您可以在常规 cmd 提示符(不需要 PowerShell)中使用以下命令,而不是更改计算机名称,而是将其添加到系统中。

“netdom 计算机名称(系统当前 FQDN)/add(备用 FQDN)”

请注意,如果您要更改系统名称,上述命令也有效。在这种情况下,您可以在执行上一个命令后立即执行此命令:

“netdom 计算机名(系统当前 FQDN)/makeprimary(备用 FQDN)”

从那里,您将需要重新启动服务器以使名称更改生效,并让服务器向 DNS 注册其更改。

我建议使用这种方法有两个原因。首先,虽然这可能不是最简单的解决方案,但它确实确保了尽可能多的东西能够继续使用新名称。有时,例如,SMB 无法很好地与 CNAME 或附加 A 记录配合使用。此外,即便如此,新的计算机名称也会与系统的常规名称一起在 DNS 中注册,并将使用正确的 IP 地址进行动态更新,这与手动创建的 A 记录不同(尽管 CNAME 记录会正确更新)。

此外,还有另一个原因 - 如果网络上没有禁用 LLMNR(链路本地多播名称解析)并且您的应用程序使用它来联系服务器,则使用此方法将确保 LLMNR 将继续使用这两个名称,因为系统将配置为监听这两个名称。

编辑 - 我读错了问题。我刚刚意识到有问题的服务器不是域控制器,因此由于 AD DS 角色,默认情况下没有“netdom”命令。CNAME 和 A 可以完美运行,但根据我的经验,向服务器添加备用名称总是更好。

编辑 2 - 为了实现这一点,你需要建立一个新区域,最好是 AD 集成区域

相关内容