在活動目錄環境中提供對無 www 網站的訪問
我們的網站在我們的網路之外託管在外部。規範 URL 是故意缺少 www,並將 301 將任何包含 www 的請求重定向到規範 URL。到目前為止,一切都很好。
問題是從我們的區域網路中提供對網站的訪問。理論上,答案很簡單:在 DNS 中添加一條主機記錄,將 foobarco.org 指向外部 webhost。(例如 foobarco.org –> 203.0.113.7)
但是,我們的活動目錄域與我們的公共網站 (foobarco.org) 相同,並且 AD 似乎會定期在與我們的域控制器相對應的域根目錄中自動創建主機 (A) 記錄。這會導致明顯的問題:LAN 上嘗試訪問網站的使用者會解析域控制器。
作為權宜之計,我們使用客戶端上的 hosts 文件覆蓋 DNS,但這是一種無法很好擴展的快速破解方法。
hosts-file hack 並沒有破壞任何明顯的東西,所以我懷疑這種行為對 AD 操作至關重要,但我還沒有找到禁用它的方法。
是否可以覆蓋此行為?
任何涉及使用“主機”文件的解決方案都不是解決方案。加倍如此,在這種情況下,因為它會破壞域 DFS。您的組策略很可能沒有在您執行此“hack”的電腦上正確應用。檢查他們的應用程序事件日誌之一以查看。如果您希望使用域 DFS 根,這也將排除該選項。這不是一個長期可行的策略。(如果它對您來說不是“顯而易見的”,那麼它“損壞”了任何東西,那麼您可能沒有在任何程度上使用組策略或域 DFS。)
這個“問題”一直是關於伺服器故障的一些激烈而生動的宗教辯論的根源。
我認為有人違反Microsoft 推薦的最佳實踐,錯誤地命名了您的 Active Directory 域。Active Directory 域應命名為:
- 您控制的 Internet 域名的第三級(或更深)子域
- 您控制但不用於任何外部可訪問的 Internet 資源的 Internet 域名的二級子域
您的 AD 域應該有一個全球唯一、非單標籤(即“其中至少有一個點”)名稱,您可以控制該名稱,該名稱未分配給任何 Internet 可訪問資源。
“.local”TLD 是個壞主意,因為它可能會導致 ZeroConf 協議出現問題。不要使用它。
你可以做我在一些絕望的情況下看到的愚蠢的黑客攻擊,即你在每台域控制器電腦上執行 IIS,
http://www.domain.com當客戶端請求時發送到名稱的重定向http://domain.com。這很可怕,但它會做你想做的事。如果您有能力這樣做,我會考慮重命名 Active Directory 域。這聽起來很激烈,但它將消除這種頭痛。