Название реального сайта организации и название домена active directory совпадает и сайт не открывается в домене?

Question

[Sultan4545454545]

Дело в чем, дал я домену название, совпадающим с названием сайта. Пользователей уже столько завел, что уже не хочется другой домен создавать, помогите решить проблему с НЕДОСТУПНЫМ САЙТОМ ВНУТРИ ДОМЕНА.
Вначале помогло то, что снес веб сервер iis, вроде было норм, но через какое то время проблема повторилось. Как быть?

Answer 1

[Роман Безруков]

1. можно поиграться с DNS Policy - если у вас Windows Server 2016 и свежее
2. можно переименовать домен - How to Rename an Active Directory Domain Name?

Answer 2

[MVV]

Отключить регистрацию записи A для имени домена на всех КД и добавить вручную запись, указывающую на ве-сайт. Для этого В политике, применяемой к контроллерам домена (Default Domain Controller Policy) в разделе Administrative Templates/Netlogon/DC Locator DNS Records включите политику "Specify DC Locator DNS records not registered by ... и добавьте в нее мнемонику LdapIpAddress.

Есть альтернатива: установить на всех КД обратный прокси для имени домена, проксирующий запросы на веб-сайт: например IIS+ARR (Application Request Routing).

Переименовывать домен AD, как тут советуют вsыше, из-за такой мелочи не стоит IMHO

Comments

[Sultan4545454545]

подскажите, какую мнемонику выбрать, задал LdapIpAddress A DnsDomainName, эффекта не было

[MVV]

LdapIpAddress
Читайте описание параметра в редакторе: "там все написано"(с).
Записи A с именем потом, после применения политики, уберите или исправьте вручную.

Answer 3

[Руслан Федосеев]

пересоздать домен.
например если сайт организации example.com - создайте домен office.example.com

вы ж ДНСом АД все перекрыли....

Comments

[Sultan4545454545]

да, это решение оптимальное, но как не хочется обратно всех пользователей заводить, есть тот факт что в организации домен впервые заводится и люди не доверяют и пугаются что системный администратор всех контролирует

[Drno]

Sultan4545454545, правильно пугатся. и правильно что контролируется. это норма...
еще и трафик смотрится ипочта читается, обычно... при желании)

[Руслан Федосеев]

можно еще немного по другому.
создать новый АД домен на новом контроллере.
скопировать туда пользователей - экспорт, импорт
вывести компы из старого домена, завести в новый...

https://itlocate.ru/blog/windows/perenos-vsex-polz...

с минимальным простоем получится...

[Довольный Айтишникъ]

Sultan4545454545, не нужно заново ничего заводить, почитайте про переименование домена.

Answer 4

[aleks-th]

Так а в чем проблема просто переименовать домен?
Юзеры там вроде останутся на месте если все правильно сделать.

Comments

[Руслан Федосеев]

пересоздать дешевле )

Answer 5

[akelsey]

Когда-то давно писал о том как правильно именовать Windows domain.
Сейчас вижу только вариант создать pinpoint DNS.
Запись www.domain.ru - внутри AD DNS направить внешний айпи, а подключение на 80 порт domain.ru - установкой IIS сервера на контроллере домена (сама по себе не гуд идея с точки зрения безопасности) и модулем redirect перекидывать на https://www.mydomain.ru.

Но лучше всё же создать новый домен, настроить доверие между двумя, тих тих перенести во вменяемые сроки учетки и декомиссить старый домен. Что бы исключить проблемы в будущем.