我们有一个域abc.com,这也是外部网站的地址。 现在我们遇到的问题是,当我们进入www.abc.com时,我们可以访问外部网站,而不是abc.com。 我们试图教育用户使用www。 但这并不成功。 所以我正在寻找其他方法来解决这个问题。 我读了一个简单的解决scheme,就是在DC上安装IIS(我们只有一个),并设置了一个前向。 但是,在DC上安装IIS时,会为攻击添加更多表面,这是一个安全问题。 现在我想知道是否没有其他的方式来安装IIS转发80端口和443端口上的请求,例如使用DNS规则? 或者也许只是转发所选端口的请求的条件转发器?
谢谢
你现在正在处理一个糟糕的devise决定的后果。 :(安装IIS并使用redirect进行configuration是解决这个问题的标准方法。没有DNS技巧可以使用,因为DNS不知道端口而不是HTTP请求。
你很聪明地质疑在你的域控制器上安装IIs的智慧(除了WTF你只有一个域控制器吗?这肯定会导致你比IIS更大的问题),但是在这一点上,这是一个风险将需要采取。 确保IIS安全configuration,并且不会泄露超出需要的数据。
你的select是重命名域,这将是痛苦的,但你应该强烈考虑。 目前只有一个域控制器使我认为这是一个小型组织,所以也许重命名不会太艰难,无法完成。
现在您已经将您的外部域名用作AD域名了,就没有别的可做的事情了,正如EEAA的答案所述。 真正的解决scheme不是使用example.com作为AD域,而是使用ad.example.com这样的子域。
如果你决定改变你的AD域名,我想警告你另一个广泛使用,但低劣的解决scheme:
example.org 。 我认为这是不必要的浪费金钱。 example.local 。 有了这个,你永远不能使用签名的TLS证书。 另请阅读TechNet文章: AD:内部域名和networking名称的最佳实践 。