none
смена DNS суфикса сервера с server01.company.local на server01.company.ru RRS feed

  • Вопрос

  • Коллеги, доброго времени суток.

    Вопрос заключается в следующем.

    Есть терминальная ферма состоящая из нескольких серверов. Для всего этого куплен коммерческий сертификат *.company.ru, сам домен у нас company.local, соответственно и dns суфиксы серверов company.local, из-за всего этого происходят проблемы проверки подлинности с серверами, с ролью "Узел сеансов удаленных рабочих столов", так как в сертификате указано *.company.ru а сервера представляются как server01.company.local и т.д.

    Хотел бы услышать, правильно и возможно ли всем серверам сменить dns суфикс на company.ru? Не будет ли из-за этого каких либо проблем? Или лучше поднять новые сервера и уже новым назначить имена с правильным суффиксом?

    11 сентября 2014 г. 12:10

Ответы

Все ответы

  • Можно вообще не менять суффикс на серверах, а сделать для серверов вручную записи в DNS в зоне company.ru (ну, или в файлах hosts на всех потенциальных клиентах) такие, чтобы имена из серверов домена company.ru разрешались в IP-адреса соответствующих серверов.

    Слава России!

    11 сентября 2014 г. 13:16
  • Осуществляется ли доступ на терминальные сервера из Интернета внешними клиентами или только вашими сотрудниками с компьютеров организации?

    11 сентября 2014 г. 13:17
    Модератор
  • Осуществляется ли доступ на терминальные сервера из Интернета внешними клиентами или только вашими сотрудниками с компьютеров организации?

    Доступ осуществляется и внешним клиентам из интернета, и с компьютеров организации тоже. Сделать необходимо так, что бы со стороны клиентов не было никаких действий. Что бы пользователь ввел адрес в браузере и подключился к нужному приложению, что бы не надо было ручками там импортировать сертификат или еще что то где то прописывать на стороне клиента.
    12 сентября 2014 г. 5:49
  • Сертификат предоставляется сервером клиенту, на стороне клиента осуществляется проверка сертификата.

    Клиенту все равно какое имя сервер считает "своим", для клиента имеет значение какое имя сам клиент использует для обращения к серверу. 

    Именно последнее имя и сравнивается с именами, перечисленным в сертификате.

    Если вы создадите на своих серверах DNS зону company.ru и записи в ней для вашей фермы, то клиенты смогут обращаться к ферме по имени <farmname>.company.ru.

    Это имя подходит под wildcard-имя *.company.ru, которое фигурирует в сертификате, поэтому ошибки сертификата не будет. 


    Microsoft Certified Doing Nothing Expert

    12 сентября 2014 г. 7:32
  • Сертификат предоставляется сервером клиенту, на стороне клиента осуществляется проверка сертификата.

    Клиенту все равно какое имя сервер считает "своим", для клиента имеет значение какое имя сам клиент использует для обращения к серверу. 

    Именно последнее имя и сравнивается с именами, перечисленным в сертификате.

    Если вы создадите на своих серверах DNS зону company.ru и записи в ней для вашей фермы, то клиенты смогут обращаться к ферме по имени <farmname>.company.ru.

    Это имя подходит под wildcard-имя *.company.ru, которое фигурирует в сертификате, поэтому ошибки сертификата не будет. 


    Microsoft Certified Doing Nothing Expert

    Так и есть. И проблема возникает только тогда, когда пользователи подключаются к терминалу через интернет, через шлюз удаленных рабочих столов. Внутри локальной сети, ошибки с сертификатом нету. И данная ошибка сертификата происходит только если запускать приложение RemoteAPP опубликованное в веб доступе.
    12 сентября 2014 г. 7:50
  • Каюсь, я невнимательно прочел ваше первое сообщение.

    Насколько я знаю, начиная с версии 8.0 в клиенте RDP поменялось поведение при проверке сертификатов.

    (http://blogs.technet.com/b/askperf/archive/2014/01/24/certificate-requirements-for-windows-2008-r2-and-windows-2012-remote-desktop-services.aspx)

    Попробуйте установить на проблемные машины обновление


    Microsoft Certified Doing Nothing Expert

    12 сентября 2014 г. 8:14
  • Каюсь, я невнимательно прочел ваше первое сообщение.

    Насколько я знаю, начиная с версии 8.0 в клиенте RDP поменялось поведение при проверке сертификатов.

    (http://blogs.technet.com/b/askperf/archive/2014/01/24/certificate-requirements-for-windows-2008-r2-and-windows-2012-remote-desktop-services.aspx)

    Попробуйте установить на проблемные машины обновление


    Microsoft Certified Doing Nothing Expert

    Даже если и поможет установка этого обновления, хотя такая же ошибка сертификата появляется и при подключении с windows 8.1 и windows 7, хотелось бы услышать все таки ответ по поводу изменения dns суффикса? В тестовой среде это решило проблему, остался вопрос как повлияет другой dns суффикс company.ru на работу этих серверов внутри домена с суффиксом company.local
    12 сентября 2014 г. 8:33
  • хотелось бы услышать все таки ответ по поводу изменения dns суффикса? В тестовой среде это решило проблему, остался вопрос как повлияет другой dns суффикс company.ru на работу этих серверов внутри домена с суффиксом company.local

    Посмотрите статью

    http://www.sjkingston.com/blog/changing-the-primary-dns-suffix-of-a-domain-computer/

    в ней описано, какие проблемы могут последовать, и возможное решение.

    • Помечено в качестве ответа Danish Alexander 15 сентября 2014 г. 15:50
    12 сентября 2014 г. 8:51
    Модератор
  • хотелось бы услышать все таки ответ по поводу изменения dns суффикса? В тестовой среде это решило проблему, остался вопрос как повлияет другой dns суффикс company.ru на работу этих серверов внутри домена с суффиксом company.local

    Посмотрите статью

    http://www.sjkingston.com/blog/changing-the-primary-dns-suffix-of-a-domain-computer/

    в ней описано, какие проблемы могут последовать, и возможное решение.

    Да спасибо, я тоже читал про данный атрибут msDS-AllowedDNSSuffixes.

    Получается, я могу внести в этот атрибут два домена company.local и company.ru, и потом спокойно менять суффиксы на серверах, и проблем с авторизацией серверов с новым суффиксом быть не должно?

    • Помечено в качестве ответа Danish Alexander 12 сентября 2014 г. 9:56
    • Снята пометка об ответе Danish Alexander 15 сентября 2014 г. 15:50
    12 сентября 2014 г. 9:23
  • Данная конфигурация AD называется Disjoint Namespace. Она является поддерживаемой, хотя и более сложна в управлении, подробнее см.

    http://technet.microsoft.com/en-us/library/cc731125(v=ws.10).aspx

    • Помечено в качестве ответа Danish Alexander 12 сентября 2014 г. 9:56
    12 сентября 2014 г. 9:34
    Модератор