none
Имя домена совпадает с именем сайта компании.

    Question

  • У обслуживаемой организации есть проблема: Домен называется company.ru и сайт в интеренете тоже называется company.ru следовательно когда пользователи домена обращаются к сайту company.ru, DNS их отсылает к контроллеру домена. Структура сети следующая  192.168.0.254(Win2003) -DC ,DNS и прокси сервер kerio,  192.168.0.1 шлюз(железка длинк). На клиентах шлюз 192.168.0.1 днс 192.168.0.254 прокси прописан 192.168.0.254.
    Чтобы открывался сайт компании создал запись в  ДНС- www - ip сайта, но проблема в том что разработчики сайта очень любят абсолютные ссылки и поэтому корректно сайт не грузится. Начинаю думать о переименовании домена, но как то не хочется.
    Подскажите есть ли ещё какие-то варианты?

    • Edited by Satan1010 Friday, September 11, 2009 5:55 AM
    Thursday, September 10, 2009 5:10 PM

Answers

  • Опят же вместо переименования домена можно либо редиректить 80 порт на внешний www сервер.
    Либо можно попробовать установить IIS и поднять на нем сайт с привязкой к заголовку company.ru, в настройках сайта указать редирект на www.company.ru
    как на картинке:
    http://www.proworks.com/blog/wp-content/uploads/2009/05/iis_redirect-300x291.png
    http://www.itcommunity.ru/blogs/alifatov/
    • Marked as answer by Satan1010 Monday, September 14, 2009 12:14 PM
    Friday, September 11, 2009 5:54 AM
  • Всё намного проще. Сам столкнулся с такой проблемой.

    Как я делал:
    Сайт site.com.ua

    Создал основную зону site.com.ua и добавил две записи А:

    1. site.com.ua А 8.8.8.8.
    2.www.site.com.ua А 8.8.8.8.

    Friday, September 06, 2013 11:12 AM

All replies

  • В таких ситуациях обычно рекомендуют "расщепленный DNS": два DNS-сервера, оба авторитарные за одно пространство имен, но один из котрых, обслуживает и доступен лишь клиентам внутренней сети (разрешает имена во внутренние адреса), а другой - запросы от внешних клиентов, разрешаемые в адреса публичные. Но это спасает, если ресурсы, описаные в одном пространстве имен, доступные, как из сети Интерет, так и сотрудникам предприятия, размещаются и опубликованы в сети самого предприятия. Если веб сайт Вашего предприятия расположен не во внутренней сети компании, то придется либо сильнее пинать разработчиков (хостер, кстати, тоже может подменять запросы от Ваших клиентов, если что), либо использовать механизмы трансляции ссылок, перенаправления или фильтрации/модификации запроса клиента. Есть и более простой Вариант - веб-прокси должен разрешать FQDN во внешний адрес, чего можно добиться, назначив ему публичный DNS-сервер для разрешения имен. Но это простое решение фактичеки отрезает веб-прокси от домена AD вашего предприятия со всеми вытекающими последствиями.

    Например, для клиентов сервера ISA доступен механизм, позволяющий подключить дополнительный HTTP-фильтр, применяющий к заголовку запроса клиента "преобразователь" и пересылающий его в модифицированном, желаемом виде. В Вашем случае такой фильтр мог бы, обнаружив в составе URL FQDN "www.company.ru" заместить этот компонент URL на "company.ru", но все же направить запрос на хост веб сервера с IP-адресом для "www.company.ru". Web-прокси Kerio WinRoute с этим справится?

    http://www.redline-software.com/rus/products/tk/components/headers_modifier.php

    Thursday, September 10, 2009 7:44 PM
  • В качестве варианта, если на 192.168.0.254 порт 80 не занят, то форвардить его на внешний www сервер. Вроде бы Kerio такое умеет.
    Это не очень хорошее решение, но лучше чем переименование домена, хорошим решением будет надавть по рукам разработчикам :)
    http://www.itcommunity.ru/blogs/alifatov/
    Thursday, September 10, 2009 10:33 PM

  • Например, для клиентов сервера ISA доступен механизм, позволяющий подключить дополнительный HTTP-фильтр, применяющий к заголовку запроса клиента "преобразователь" и пересылающий его в модифицированном, желаемом виде. В Вашем случае такой фильтр мог бы, обнаружив в составе URL FQDN "www.company.ru" заместить этот компонент URL на "company.ru", но все же направить запрос на хост веб сервера с IP-адресом для "www.company.ru". Web-прокси Kerio WinRoute с этим справится?

    Это может не работать если у клиентов стоит галочка - "не использовать прокси для локальных адресов".


    http://www.itcommunity.ru/blogs/alifatov/
    Thursday, September 10, 2009 10:37 PM
  • проблема в том что настроен прокси и весь http трафик идёт через 192.168.0.254: 3128 kerio proxy
    Friday, September 11, 2009 3:24 AM
  •  Есть и более простой Вариант - веб-прокси должен разрешать FQDN во внешний адрес, чего можно добиться, назначив ему публичный DNS-сервер для разрешения имен. Но это простое решение фактичеки отрезает веб-прокси от домена AD вашего предприятия со всеми вытекающими последствиями.


    К сожалению kerio стоит как раз на DC и отрезать его от домена не получится.
    Насчёт заголовков попробую поискать, но то что керио это умеет маловероятно
    Friday, September 11, 2009 3:33 AM
  • Может так:

    http://www.redline-software.com/eng/support/docs/winroute/ch04s03.php

    ?
    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
    Friday, September 11, 2009 4:58 AM
  • Переименовывание домена самый оптимальный вариант, все другие варианты не решают вопрос окончательно.
    Предлагаю сначала смоделировать переименовывание в виртуальной среде.

    Ещё один вариант:
    Перенести сайт на контроллеры домена, а на файрволе (если ваш d-link это умеет) настроить публикацию с сайта - конечно, если вы используете свой хостинг для сайта.


    Alex A. K.
    Friday, September 11, 2009 5:14 AM
  • Может так:

    http://www.redline-software.com/eng/support/docs/winroute/ch04s03.php

    ?
    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.

    Проблема в том, что клиенты должеы использовать для разрешения имен в зоне company.ru локальный DNS сервер на контроллере домена, иначе могут возникнуть проблемы с работой AD.
    http://www.itcommunity.ru/blogs/alifatov/
    Friday, September 11, 2009 5:33 AM
  • Проблема в том, что клиенты должеы использовяать для разрешения имен в зоне company.ru локальный DNS сервер на контроллере домена, иначе могут возникнуть проблемы с работой AD.
    http://www.itcommunity.ru/blogs/alifatov/
    А как связаны настройки Kerio и AD? Это же настройки самого kerio....
    Естественно, все пользователи должны жестко быть настроены на использование прокси сервера (исключения можно в этом случае включать только для конкретных внутренних ресурсов)
    Если не получится - тогда выход только такой: или еще один сервер - для работы в качестве прокси (для небольшого количества пользователей достаточно и виртуального) или действительно переименование домена....
    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
    Friday, September 11, 2009 5:42 AM
  • Я могу ошибаться, с Керио последний раз давно дело имел, но по моему при включении это фичи компьютер с установленным Kerio начинает действовать как кэширующий прокси сервер, т.е открывает 53 порт и начинает обслуживать DNS запросы.
    Поправьте если не прав.


    http://www.itcommunity.ru/blogs/alifatov/
    Friday, September 11, 2009 5:46 AM
  • Переименовывание домена самый оптимальный вариант, все другие варианты не решают вопрос окончательно.
    Предлагаю сначала смоделировать переименовывание в виртуальной среде.

    Ещё один вариант:
    Перенести сайт на контроллеры домена, а на файрволе (если ваш d-link это умеет) настроить публикацию с сайта - конечно, если вы используете свой хостинг для сайта.


    Alex A. K.
    Перенос сайта, не рассматривается т.к провайдер выдёт  динамический ip.
    Переименование крайняя мера т.к кажется что вылезет много глюков. 
    Friday, September 11, 2009 5:53 AM
  • Опят же вместо переименования домена можно либо редиректить 80 порт на внешний www сервер.
    Либо можно попробовать установить IIS и поднять на нем сайт с привязкой к заголовку company.ru, в настройках сайта указать редирект на www.company.ru
    как на картинке:
    http://www.proworks.com/blog/wp-content/uploads/2009/05/iis_redirect-300x291.png
    http://www.itcommunity.ru/blogs/alifatov/
    • Marked as answer by Satan1010 Monday, September 14, 2009 12:14 PM
    Friday, September 11, 2009 5:54 AM
  • Я могу ошибаться, с Керио последний раз давно дело имел, но по моему при включении это фичи компьютер с установленным Kerio начинает действовать как кэширующий прокси сервер, т.е открывает 53 порт и начинает обслуживать DNS запросы.
    Поправьте если не прав.


    http://www.itcommunity.ru/blogs/alifatov/

    Я то, честно говоря, с Kerio вообще дела не имел :)
    Да, Дмитрий, Вы правы (прочитал статью более внимательно). Тогда, выходом будет только переименование или "вынесение" прокси сервера с ADC.
    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
    Friday, September 11, 2009 5:55 AM
  • DNS Forwarding Тоже не подходит т.к тогда домен не будет нормально функционировать. 
    Friday, September 11, 2009 5:55 AM
  • Опят же вместо переименования домена можно либо редиректить 80 порт на внешний www сервер.
    Либо можно попробовать установить IIS и поднять на нем сайт с привязкой к заголовку company.ru, в настройках сайта указать редирект на www.company.ru
    как на картинке:
    http://www.proworks.com/blog/wp-content/uploads/2009/05/iis_redirect-300x291.png
    http://www.itcommunity.ru/blogs/alifatov/

    Скорее всего - тоже не сработает - ссылки, не относительные - а абсолютные...
    Как Вы там говорили - надавать разработчикам по рукам :)

    Если ответ Вам помог, нажмите на изображение зеленой галочки - «пометить как ответ». Если ответ был для Вас полезен, Вы можете пометить это сообщение как «полезное», нажав на ссылку "проголосовать за полезное сообщение" в правом верхнем углу сообщения.
    Friday, September 11, 2009 6:02 AM
  • Думаю должно сработать.
    пользователь открывает www. company.ru, то DNS возварает IP адрес внешнего сервера, проблем нет.
    если ссылка ведет на company.ru\чтототам, то DNS возвращает IP адрес 192.168.0.254, на котором крутится с web серевер пересылающий все запросы на www.company.ru, или просто весь HTTP трафик переадресуется на внешний сервер.


    http://www.itcommunity.ru/blogs/alifatov/
    Friday, September 11, 2009 6:06 AM
  • Опят же вместо переименования домена можно либо редиректить 80 порт на внешний www сервер.
    Либо можно попробовать установить IIS и поднять на нем сайт с привязкой к заголовку company.ru, в настройках сайта указать редирект на www.company.ru
    как на картинке:
    http://www.proworks.com/blog/wp-content/uploads/2009/05/iis_redirect-300x291.png
    http://www.itcommunity.ru/blogs/alifatov/
    Тогда вопрос редирект будет работать если на сайте вобще не используется www тоесть все ссылки на сайте вида company.ru/picture/1.jpg. И не совсем понимаю как редиректить 80 порт? Если я правильно понимаю процесс то при запросе адреса www.company.ru получает внешний ip а на самом сайте уже идут ссылки не на www.company.ru а на company.ru и все ссылки с главной, картинки и прочее браузер уже пытается открыть с 192.168.0.254. И весь этот процесс идёт через прокси. по идее 80 порт не используется или я не прав?
    Friday, September 11, 2009 6:09 AM
  • Можно создать на контроллере домена пустой сайт, который будет редиректить на www.company.com
    таким образом конфликта DNS не будет.


    Alex A. K.
    Friday, September 11, 2009 6:10 AM
  • HTTP трафик к  192.168.0.254 может пойти через прокси, а может пойти и напрямую. Это зависит от настроек клиентов. Если у клиентов в свойствах брацзера стоит не использовать проки для локальных адресов и клиент понимает, что 192.168.0.254 это локальный адрес, то прокси не будет использоваться.
    сервис (в смысле запущенный процесс) прокси можно рассматривать как точно такой же клиент как и все остальные.
    т.е прокси пытается открыть company.ru/company.ru/picture/1.jpg, он спрашивает у DNS ip адрес сервера company.ru, тот отвечает - 192.168.0.254.
    сервис прокаси посылает запрос на 80 порт 192.168.0.254 - GET company.ru/picture/1.jpg, который форвардится на IP адрес внешнего www сервера.
    внешний сервер посылает ответ, сервис прокси получает ответ от 192.168.0.254.


    http://www.itcommunity.ru/blogs/alifatov/
    Friday, September 11, 2009 6:17 AM
  • пример microsoft.ru  - редиректит на http://www.microsoft.com/ru/ru/default.aspx
    Alex A. K.
    Friday, September 11, 2009 6:19 AM
  • во внутренней сети нужно прописывать только внутренние DNS, на DC нужно указать то-же только внутренние DNS, а на DNS уже настраивать форвардинг.

    Прокси установлена на DC/DNS и будет использовть для разрешения имён. Таким образом неважно прописана-ли прокси у клиента в браузере или нет, при наборе адреса  company.com он будет открывать контроллер домена, и будет редиректиться на www.company.com - web-сервер.

    Не ясно, где хостинг? Внутри или снаружи?
    Alex A. K.
    Friday, September 11, 2009 6:29 AM
  • пример microsoft.ru  - редиректит на http://www.microsoft.com/ru/ru/default.aspx
    Alex A. K.

    тут несколько другой редирект. У microsoft на www.microsoft.ru стоит страничка заглушка, которая редиректит браузер на другую страницу - http://www.microsoft.com/rus
    а вот страница http://www.microsoft.ru/rus уже не откроется - 404.
    http://www.itcommunity.ru/blogs/alifatov/
    Friday, September 11, 2009 6:36 AM
  • вот я и предлагаю создать страницу заглушку на контроллерах домена
    Alex A. K.
    Friday, September 11, 2009 6:39 AM
  • Если надо, можно заменить страницу с ошибкой 404 на заглушку, тогда любой запрос вызывающий ошибку 404 будет редиректится
    Alex A. K.
    Friday, September 11, 2009 6:41 AM
  • Собственно как форвардить порт на Kerio:
    http://forums.kerio.com/index.php?t=msg&goto=62766#msg_62766

    Только в качестве источника внутренняя сеть, а в качестве назначения IP адрес www.company.ru
    http://www.itcommunity.ru/blogs/alifatov/
    Friday, September 11, 2009 6:51 AM
  • Порт форвардить надо на маршрутизаторе или на Proxy? вроде шлюз по умолчанию d-link 192.168.0.1 ?
    Alex A. K.
    Friday, September 11, 2009 6:53 AM
  • На хосте с IP-адресом от "company.ru" (там у Вас DC c Kerio).
    Friday, September 11, 2009 6:55 AM
  • Так в том-то и дело, что Керио - прокси, а шлюз - D-Link.  Это следует из заглавного поста. Значит Маппинг не подходит. В любом случае, если делать маппинг, то его нужно делать на D-Link'е.

    Нам нужно, чтобы внутренние пользователи могли попасть на сайт компании.
    Сайт компании совпадает с доменным именем, и пользователи вместо сайта попадают на контроллер домена.

    Наиболее оптипальный вариант - на контроллере домена создать страницу, которая будет редиректить на сайт.

    Порты форвардить - нецелесообразно, административные издержки велики - если что-то сломается, то голова вскипит.


    Alex A. K.
    Friday, September 11, 2009 7:06 AM
  • Какой "маппинг"?

    Ну, см. мой первый пост. Я других вариантов не вижу.
    Friday, September 11, 2009 7:07 AM
  • форвардинг портов см. несколько постов выше


    Alex A. K.
    Friday, September 11, 2009 7:13 AM
  • Так в том-то и дело, что Керио - прокси, а шлюз - D-Link.  Это следует из заглавного поста. Значит Маппинг не подходит. В любом случае, если делать маппинг, то его нужно делать на D-Link'е.


    Каким боком здесь D-Link?

    http://www.itcommunity.ru/blogs/alifatov/
    Friday, September 11, 2009 7:19 AM
  • Так в том-то и дело, что Керио - прокси, а шлюз - D-Link.  Это следует из заглавного поста. Значит Маппинг не подходит. В любом случае, если делать маппинг, то его нужно делать на D-Link'е.


    Каким боком здесь D-Link?

    http://www.itcommunity.ru/blogs/alifatov/

    Шлюз: 192.168.0.1 - железяка D-Link
    Прокси: ПО Керио на контроллере домена

    Цитирую пост автора:
    Структура сети следующая  192.168.0.254(Win2003) -DC ,DNS и прокси сервер kerio 192.168.0.1 шлюз(железка длинк). На клиентах шлюз 192.168.0.1 днс 192.168.0.254 прокси прописан 192.168.0.254.


    Alex A. K.
    Friday, September 11, 2009 7:25 AM
  • При открытии ссылки company.ru/picture/1.jpg обращение идет к 192.168.0.254.
    D-Link тут никаким боком не присутствует.


    http://www.itcommunity.ru/blogs/alifatov/
    Friday, September 11, 2009 7:31 AM
  • При открытии ссылки company.ru/picture/1.jpg обращение идет к 192.168.0.254.
    D-Link тут никаким боком не присутствует.


    http://www.itcommunity.ru/blogs/alifatov/

    Речь идёт о port forwarding'е - а это функция файрвола. Пакеты маршрутизирует маршрутизатор, а не прокси.

    Соответственно форвардинг на Kerio настраивать не нужно.

    О ссылке company.ru/picture/1.jpg вообще ничего не говорится в темею.


    Alex A. K.
    Friday, September 11, 2009 7:37 AM
  • При открытии ссылки company.ru/picture/1.jpg обращение идет к 192.168.0.254.
    D-Link тут никаким боком не присутствует.


    http://www.itcommunity.ru/blogs/alifatov/

    Речь идёт о port forwarding'е - а это функция файрвола. Пакеты маршрутизирует маршрутизатор, а не прокси.

    Соответственно форвардинг на Kerio настраивать не нужно.

    О ссылке company.ru/picture/1.jpg вообще ничего не говорится в темею.


    Alex A. K.

    Сам себя цитирую....
    Конечно можно поднять ещё один маршрутизатор на контроллере домена, что-бы он форвардил запросы www.company.com.
    Alex A. K.
    Friday, September 11, 2009 7:40 AM
  • При открытии ссылки company.ru/picture/1.jpg обращение идет к 192.168.0.254.
    D-Link тут никаким боком не присутствует.


    http://www.itcommunity.ru/blogs/alifatov/

    Дошло!
    Разработчикам сайта надо действительно объяснить, что такое относительные ссылки.....

    Мой вариант поможет, если ссылки на сайт прописаны абсолютными.
    Тут действительно - надо или домен поднимать, или ещё один маршрутизатор поднимать.....
    Alex A. K.
    Friday, September 11, 2009 7:53 AM
  • Абзац! :))
    Friday, September 11, 2009 8:07 AM
  • Всем спасибо за советы. Голова уже кипит. Вобщем из обсуждения вынес следующее:

    Первый вариант:
    Надо поднять IIS на DC и перенаправить запросы с него на www.company.ru тогда даже при обращении по ссылкам вида company.ru/что-то ещё  запросы будут пересылаться на внешний сайт компании. 

    Второй вариант: помучить шлюз(D-link) и если он поддерживает переадресацию FQDN попробовать её реализовать или реализовать переадресацию http трафика с 254 на сайт, но для этого придётся менять маски подсети чтобы трафик с клиентов шёл сначала через шлюз, сейчас т.к одна подсеть идёт напрямую на DC. 
    Всё ли я правильно понял?

    О результатах отпишусь скорее всего в понедельник
    Ну и самый простой и неинтересный вариант поднять независимую проксю и всё через неё настроить. Но это лишний комп.

    • Proposed as answer by pan_KOST Wednesday, August 01, 2012 1:49 PM
    Friday, September 11, 2009 2:43 PM
  • Всё намного проще. Сам столкнулся с такой проблемой.

    Как я делал:
    Сайт site.com.ua

    Создал основную зону site.com.ua и добавил две записи А:

    1. site.com.ua А 8.8.8.8.
    2.www.site.com.ua А 8.8.8.8.

    Friday, September 06, 2013 11:12 AM