Перенаправить порт 80 и 443 на внешний домен с использованием условных серверов пересылки
У нас есть домен abc.com, который также является адресом внешнего веб-сайта. Теперь у нас есть проблема, заключающаяся в том, что мы можем получить доступ к внешнему веб-сайту при вводе www.abc.com, но не abc.com. Мы пытались научить пользователей пользоваться www. но это не сработает. Я читал, что простое решение - установить IIS на DC (у нас только один) и настроить переадресацию. Но с установкой IIS на DC вы добавляете больше поверхности для атак, что является проблемой безопасности. Теперь мне интересно, нет ли другого способа, кроме как установить IIS для пересылки запросов на порты 80 и 443, например, с помощью правила DNS? Или, может быть, сервер условной пересылки, который просто пересылает запросы для выбранных портов?
Спасибо
Теперь вы застряли, имея дело с последствиями неудачного дизайнерского решения. :( Установка IIS и настройка его с перенаправлением - это канонический способ решения этой проблемы. Вы не можете использовать никаких приемов DNS, поскольку DNS не имеет представления о портах, а не о HTTP-запросах.
Вы » разумно подвергнуть сомнению целесообразность установки II на вашем контроллере домена (кроме того, черт возьми, у вас только один контроллер домена? Это обязательно вызовет у вас гораздо большие проблемы, чем IIS), но на этом этапе есть риск, что вы нужно будет взять. Убедитесь, что IIS настроен надежно и что он не предоставляет больше данных, чем необходимо.
Ваш альтернативный вариант - переименовать домен, что будет болезненно, но вы должны серьезно обдумать это. Один контроллер домена на данный момент заставляет меня думать, что это небольшая организация, поэтому, возможно, переименование не будет слишком сложным для завершения.
Теперь, когда вы уже используете свой внешний домен в качестве домена AD, больше нечего делать, как описано в ответе EEAA. Реальным решением было бы использовать не example.com в качестве домена AD, а субдомен, например ad.example.com для этой цели.
Если вы решите изменить свое доменное имя AD, я хотел бы предупредить вас о другом широко используемом , но неполноценные решения:
- покупка другого домена, например
example.org. Я считаю это ненужной тратой денег. - с использованием незарегистрированного
example.local. При этом вы никогда не сможете использовать подписанные сертификаты TLS.
Также прочтите статью TechNet: AD: Лучшие практики для внутренних доменных и сетевых имен .