none
Настройка DNS записей на контролере домена. RRS feed

  • Вопрос

  • Добрый день!

    Есть компания CompanyName, создал домен CompanyName.com. Имя сервера соответственно Server.CompanyName.com. У компании имеется сайт идентичный по названию с именем домена CompanyName.com, но размещенный на сервере хостинга. Теперь, будучи в доменной сети, при попытке зайти на сайт получаю ошибку: "403 - запрещено. Доступ запрещен."

    Удалил DNS записи ссылающиеся на локальный IP сервера и создал DNS запись в зоне прямого просмотра "Папка верхнего уровня, Узел (А)" указав доменное имя CompanyName.com и внешний IP адрес сайта. Но все ровно та же ошибка. 

    Подскажите, пожалуйста, это неверная настройка DNS, или в IIS копать нужно?


Ответы

  • Обычно рекомендуют использовать доменные адреса отличные от адресов веб сайтов особенно если эти сайты размещены не у вас

    Вы пробовали разрешить это имя с любой машины в домене?

    По рекомендациям домен лучше называть по типу: companyname.local или  companyname.domain 

    Главное что бы имя не совпадало с реальным интернет именем

    • Помечено в качестве ответа DefaultSiteName 29 мая 2015 г. 10:05
    Модератор

Все ответы

  • Обычно рекомендуют использовать доменные адреса отличные от адресов веб сайтов особенно если эти сайты размещены не у вас

    Вы пробовали разрешить это имя с любой машины в домене?

    По рекомендациям домен лучше называть по типу: companyname.local или  companyname.domain 

    Главное что бы имя не совпадало с реальным интернет именем

    • Помечено в качестве ответа DefaultSiteName 29 мая 2015 г. 10:05
    Модератор
  • День добрый!

    Кэш ДНС чистили?


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

  • Обычно рекомендуют использовать доменные адреса отличные от адресов веб сайтов особенно если эти сайты размещены не у вас

    Вы пробовали разрешить это имя с любой машины в домене?

    По рекомендациям домен лучше называть по типу: companyname.local или  companyname.domain 

    Главное что бы имя не совпадало с реальным интернет именем

    А как быть в тех случаях, когда домен был создан раньше веб-сайта?
  • По рекомендациям домен лучше называть по типу: companyname.local или  companyname.domain 

    Главное что бы имя не совпадало с реальным интернет именем

    Vector BCO, а у меня другие данные:

    http://www.mdmarra.com/2012/11/why-you-shouldnt-use-local-in-your.html

    Cоглашусь только с тем, что имена .local встречаются часто, но это не best practice.

    Модератор
  • День добрый!

    Кэш ДНС чистили?


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    Кэш чистил, DNS сервер перезапускал.
  • если домен имеет вид Domain.CompanyName.com, а сервера и рабочие станции имеют вид ServerX.Domain.CompanyName.com, можно создать зону CompanyName.com и посадить ее на левый адрес

    но если есть домен CompanyName.com и аналогичный сайт на сторонних серверах CompanyName.com то что разрешится из этого имени?

    По дефолту разрешится домен (насколько я понимаю суть процесса)

    если у вас из вне все работает а вам нужно сделать так что бы работало всередине вы можете создать зону WWW в CompanyName.com и ее натравить на нужный адрес, в таком случае на сайт вы сможете попадать набрав www.CompanyName.com

    Модератор
  • Извините за занудство.

    Кэш чистили и на клиенте и на сервере?


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

  • Извините за занудство.

    Кэш чистили и на клиенте и на сервере?


    Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Предложить как ответ" или "Проголосовать за полезное сообщение"

    ответ уже был)
    Модератор
  • если домен имеет вид Domain.CompanyName.com, а сервера и рабочие станции имеют вид ServerX.Domain.CompanyName.com, можно создать зону CompanyName.com и посадить ее на левый адрес

    но если есть домен CompanyName.com и аналогичный сайт на сторонних серверах CompanyName.com то что разрешится из этого имени?

    По дефолту разрешится домен (насколько я понимаю суть процесса)

    если у вас из вне все работает а вам нужно сделать так что бы работало всередине вы можете создать зону WWW в CompanyName.com и ее натравить на нужный адрес, в таком случае на сайт вы сможете попадать набрав www.CompanyName.com

    Первое, что я попробовал это создать DNS запись www. На сайт попал, но только на главную страницу, т.к. остальные ссылки ведут опять-таки на CompanyName.com. 
  • Извините за занудство.

    Кэш чистили и на клиенте и на сервере?

    Кэш чистил только на сервере, т.к. мне бы для начала с сервера попасть на сайт, а там уж дальше буду копать.
  • вы пробовали разрешить имя?
    Модератор
  • вы пробовали разрешить имя?
    Я извиняюсь, первый опыт настройки AD. Что значит разрешить имя и как это сделать?
  • nslookup CompanyName.com

    nslookup www.CompanyName.com

    насколько помню использование абсолютных ссылок не лучшая практика в сайтописании
    Модератор
  • nslookup CompanyName.com
    Если добавляю в Серверы имен CompanyName.com и внешний IP, nslookup выдает 2 локальных IP сервера и внешний IP.

  • насколько помню использование абсолютных ссылок не лучшая практика в сайтописании
    Я полностью с Вами согласен, но сайт писали на заказ и доступа админке сайта у меня нет.
  • про что и речь

    получается что каждый третий раз вы будете попадать на сайт (на практике это может быть не кждый второй а 1 к 5 например но не суть) и как следствие ваши пользователи и машины будут время от времени ломиться в интернет и пытаться там авторизоваться, как следствие будут получать отлупы

    https://support.microsoft.com/en-us/kb/909264

    Best practices
    • Because the DNS names of all the nodes that require name resolution include the Internet DNS domain name for the organization, choose an Internet DNS domain name that is short and easy to remember. Because DNS is hierarchical, DNS domain names grow when you add subdomains to your organization. Short domain names make the computer names easy to remember.
    • If the organization has an Internet presence, use names that are relative to the registered Internet DNS domain name. For example, if you have registered the Internet DNS domain name contoso.com, use a DNS domain name such as corp.contoso.com for the intranet domain name.
    • Do not use the name of an existing corporation or product as your domain name. You can run into a name collision later on.
    • Avoid a very generic name like maybe domain.localhost. Another company you merge with in a few years might follow the same thinking.
    • Do not use an acronym or an abbreviation as a domain name. Users may have difficulty recognizing the business unit that an acronym represents.
    • Avoid the use of underscores (_) in domain names as applications might be very RFC obedient and reject the name, and will not install or work in your domain, and you might experience problems with older DNS servers.
    • Do not use the name of a business unit or of a division as a domain name. Business units and other divisions will change, and these domain names can be misleading or become obsolete.
    • Do not use geographic names that are difficult to spell and remember.
    • Avoid extending the DNS domain name hierarchy more than five levels from the root domain. You can reduce administrative costs by limiting the extent of the domain name hierarchy.
    • If you are deploying DNS in a private network, and you do not plan to create an external namespace, register the DNS domain name that you create for the internal domain. Otherwise, you may find that the name is unavailable if you try to use it on the Internet, or if you connect to a network that is connected to the Internet.

     
    Модератор
  • Если сайт писали на заказ это еще лучше, вы можете выставить условие о том что есть бага и адекватная контора это должна пофиксить за бесплатно
    Модератор
  • Если сайт писали на заказ это еще лучше, вы можете выставить условие о том что есть бага и адекватная контора это должна пофиксить за бесплатно

    По-сути если имя сайта и связанные ссылки сменят на www.CompanyName.com моя проблема будет решена.

    В принципе и я могу домен переименовать CompanyName.local, но дело в том, что я поднял Exchange сервер в этом домене с именами user@companyname.com. Смогу ли я потом Exchange привязать к этим же именам? (это принципиально важно в отличии от имени домена).

  • В принципе и я могу домен переименовать CompanyName.local, но дело в том, что я поднял Exchange сервер в этом домене с именами user@companyname.com. Смогу ли я потом Exchange привязать к этим же именам? (это принципиально важно в отличии от имени домена).

    Переименование домена невозможно при наличии Exchange, только миграция в другой домен или лес.
    Модератор
  • В принципе и я могу домен переименовать CompanyName.local, но дело в том, что я поднял Exchange сервер в этом домене с именами user@companyname.com. Смогу ли я потом Exchange привязать к этим же именам? (это принципиально важно в отличии от имени домена).

    Переименование домена невозможно при наличии Exchange, только миграция в другой домен или лес.
    Это понятно. Сервер по-сути чистый и мне проще все с нуля переустановить. Вопрос в том, смогу ли я потом создать в Exchange ящики типа user@companyname.com в домене CompanyName.local?
  • Как правильно подметил osr_ рекомендуют использовать поддомен Ad.CompanyName.com (или что то типа этого) но не суть

    По поводу Exchange  ничего сказать на верняка не могу, могу только предположить что при смене доменного имени имена вида user@companyname.com работать не будут (Это предположение)


    Модератор
  • Exchange способен поддерживать множество почтовых доменов. Скажем, если есть пользователь user1 в домене ad.company.ru, то Exchange можно настроить так, что он будет обрабатывать адреса вида user1@ad.company.ru, user1@company.ru, user1@anothercompany.ru и т.д., и все письма отправленные по таким адресам, будут приходить в почтовый ящик user1. Но переименовать домен с установленным в нем Exchange нельзя.

    Модератор
  • Exchange способен поддерживать множество почтовых доменов. Скажем, если есть пользователь user1 в домене ad.company.ru, то Exchange можно настроить так, что он будет обрабатывать адреса вида user1@ad.company.ru, user1@company.ru, user1@anothercompany.ru и т.д., и все письма отправленные по таким адресам, будут приходить в почтовый ящик user1. Но переименовать домен с установленным в нем Exchange нельзя.

    Но пользователи домена ad.company.ru будут иметь ящики типа user@ad.company.ru. Вопрос в том, можно ли будет настроить таким образом, чтоб в Exchange отображались именно как user@company.ru?
  • Да, для этого следует назначить Reply address. Вы можете назначить его вручную для почтового ящика или централизованно политикой.
    Модератор
  • Спасибо за ответы!
  • В принципе и я могу домен переименовать CompanyName.local, ...

    Не надо этого делать. В принципе. Поскольку следующим номером программы получите гарантированный геморрой с сертификатами для доступа снаружи/изнутри, для начала к Exchange, далее для всего, что (с универсальным доступом) появится ещё...

    Идея использования различающегося имени внутреннего домена типа .local, конечно, полезна - в тех случаях, когда кто-то в принципе не способен к пониманию сути split-dns и хочет в будущем потрахаться с объяснениями пользователям, почему одно и тоже может/должно называться по разному (или .ru, или .local), в зависимости от физического местоположения.

    А нормальный сайт не должен использовать абсолютных ссылок на собственные подразделы. Переделывать обязательно.

    На сегодня у меня несколько подшефных, пожелавших попадать на свой сайт по имени домена domain.ru, внутри сети так же, как и снаружи. Вопрос решён наличием IIS на всех DC, с прописанной там переадресацией главной страницы на www.domain.ru. Никаких проблем.


    S.A.

  • Добрый день!

    Есть компания CompanyName, создал домен CompanyName.com. Имя сервера соответственно Server.CompanyName.com. У компании имеется сайт идентичный по названию с именем домена CompanyName.com, но размещенный на сервере хостинга. Теперь, будучи в доменной сети, при попытке зайти на сайт получаю ошибку: "403 - запрещено. Доступ запрещен."

    Удалил DNS записи ссылающиеся на локальный IP сервера и создал DNS запись в зоне прямого просмотра "Папка верхнего уровня, Узел (А)" указав доменное имя CompanyName.com и внешний IP адрес сайта. Но все ровно та же ошибка. 

    Подскажите, пожалуйста, это неверная настройка DNS, или в IIS копать нужно?


    Записи типа A с именм домена AD и адресом IP контроллера домена регистрируются службой Netlogon автоматически (насколько я помню, по умолчанию - раз в 15 минут), поэтому просто удалить их один раз не поможет. Записи эти нужны исключительно для работы устаревших клиентов LDAP с каталогом AD - Windows при поиске контроллеров доменов их не использует (для этого используются записи типа SRV). Поэтому, если таких клиентов нет, то можно запретить автоматическое создание этих записей через групповую политику Default Domain Controller Policy и почитстить зону DNS домена.

    В групповой политике соответствующая настройка находится в параметре Computer\Policies\Administrative Templates\System\NetLogon\DC Locator DNS Records\Specify DC Locator DNS Records not registered by the DCs - добавьте в этот параметр значение LdapIpAddress (и включите его - по умолчанию от не сконфигурирован).

    Если же, паче чаяния, такие устаревшие клиенты LDAP у вас есть, то тогда в качестве обходного решения можно на каждом контрроллере домена установить IIS, установить на нём загружаемый с сайта MS модуль Application Request Routing (ARR) и настроить его в качестве обратного прокси-сервера для вашего сайта.


    Слава России!

  • по ldap работает такая туча софта...

    хотя возможно это только у меня...

    а про вариант с редиректом иса на дк я не знал :(

    Модератор
  • по ldap работает такая туча софта...

    Обычно всем этим программам можно указать конкретный сервер, и они работают с ним и только с ним: самостоятельно сервер LDAP для домена определить либо не  пытаются (либо используют записи SRV), а по ссылкам LDAP не ходят. Программу, которая жёстко требует наличие каталога LDAP на сервере с именем домена, найти трудно.

    Слава России!