AD und externe Domäne gleich

[RoyausHoy 0]

Hallo,

 

wir haben unsere AD a-firma.com genannt und besitzen eine Domain a-firma.com. Um die externe Webseite zu erreichen haben wir einen Host (A) angelegt mit www .a-firma.com und zugehöriger IP-Adresse 123.12.12.12

leider ist aber bei unserem Host eine Weiterleitung eingerichtet von www.a-firma.com zu https://a-firma.com. Dies soll auch nicht geändert werden wegen doppelten Content bei Google.

Das führt allerdings dazu das wenn wir im firmeninternen Netzwerk im Browser www.a-firma.com eingeben, dies wird aber umgeleitet auf https://a-firma.com und somit sind wir wieder im Firmennetzwerk.

Gibt es eine Möglichkeit die externe Webseite im firmennetzwerk aufzurufen ohne den AD-namen zu ändern?

 

Freundliche Grüße

Rüdiger

 

[NilsK 2.934]

Moin,

 

wer baut denn sowas? Die übliche Weiterleitung geht andersrum, also von "kein Hostname" zu "www".

 

Am einfachsten (möglicherweise auch die einzige Möglichkeit): Ihr sprecht mit eurem Marketing, dass sie diese hinderliche Konfiguration entfernen und den Webserver mit www-Hostnamen zum Standard erklären. Dazu böte es sich an, wie oben erwähnt die Umleitung umzukehren.

 

Und weil du vermutlich als nächstes danach fragst: Das AD umzubenennen, erfordert eine vollständige Migration in einen neuen AD-Forest. Kann man machen, ist aber sehr aufwändig. Und dann nimmt man (um auch das schon erwähnt zu haben) einen abstrakten AD-Namen, der nichts mit dem Firmennamen und der Domain zu tun hat.

 

Gruß, Nils

 

[NorbertFe 2.032]

Notfalls kann man ja mittels netsh nen Portproxy konfigurieren. ;) Aber das is genauso ungünstig, weil sich dann niemand mehr dran erinnert.

[RoyausHoy 0]

Moin,

 

ich habe jetzt mal folgendes gemacht. Als bevorzugten DNS-Server den Router eingetragen und schon funktioniert alles problemlos.

Allerdings frage ich mich jetzt wenn es so einfach ist, was funktioniert eventuell nicht mehr?

 

[NorbertFe 2.032]

Das merkst du dann schon, was alles nicht mehr geht. :/ in einem ad setzt man den dc/DNS und nicht Google, den Router oder sowas. 

[mba 133]

Hat sich nach der DNS-Änderung mal jemand neu angemeldet?

[NilsK 2.934]

Moin,

 

die schlichte Antwort noch mal deutlicher: Weil das AD dann nicht mehr geht. 

 

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Gruß, Nils

 

[RoyausHoy 0]

Moin,

 

ich hatte vergessen zu erwähnen das ich den primären DNS nur am Arbeitsplatz geändert habe. IP-Adresse und Gateway erhält dieser ja per DHCP vom Server, aber als primären DNS habe ich manuell den Router gesetzt. An und Abmelden funktioniert.

Das mit der Weiterleitung würde ich ja gerne machen, aber das Marketing hatte sich vor langer Zeit schon für die Weiterleitung von www.a-firma.com zu https:\\a-firma.com entschieden und möchte das jetzt auch nicht ändern. Daher wird es wohl so kommen das ich den AD umbennen muss. Ich habe aber hier https://www.msxfaq.de/windows/domain_rename.htm schon eine gute Anleitung gefunden.

 

Grüße Rüdiger

 

[NorbertFe 2.032]

vor 1 Minute schrieb RoyausHoy:

ich hatte vergessen zu erwähnen das ich den primären DNS nur am Arbeitsplatz geändert habe. IP-Adresse und Gateway erhält dieser ja per DHCP vom Server, aber als primären DNS habe ich manuell den Router gesetzt. An und Abmelden funktioniert.

 

Hm warte mal bisschen ab. :) Merkst du schon. Dürfte sich nach einer Weile eigentlich auch in den Eventlogs der clients zeigen.

vor 1 Minute schrieb RoyausHoy:

Marketing

 

vor 1 Minute schrieb RoyausHoy:

möchte das jetzt auch nicht ändern

Das ist keine Sache, die die Marketingabteilung zu entscheiden hat ;)

[zahni 554]

Lösung kann  dann nur noch  ein interner Web-Proxy sein, Dem kann man einen festen externen DNS-Server konfigurieren. Zusätzlich kann ein Proxy noch dabei helfen die interne Sicherheit  im Netz zu verbessern.

 

 

[NilsK 2.934]

Moin,

 

meine letzten Kunden, die gegen meinen Rat angefangen haben, ihr AD "umzubenennen" (= in ein neues AD zu migrieren), wollten mir nicht glauben, dass das zu einem empfindlich fünfstelligen Projekt wird. Das haben sie dann erst getan, als sie mittendrin mal die Rechnungen addiert haben. Aber bitte, muss jeder selbst wissen.

 

"rendom.exe" willst du nicht benutzen. Sofern Exchange im Einsatz ist, kannst du es auch nicht.

 

Nur damit du nicht sagst, es habe dich keiner gewarnt.

 

Gruß, Nils

 

[mwiederkehr 373]

Als temporäre Lösung könntest Du die Weiterleitung für Anfragen von der Firma aus deaktivieren. Dann muss sich das Marketing keine Gedanken wegen Google machen. Falls die Umleitung über Apache mod_rewrite läuft, hilft folgende Zeile in der .htaccess direkt über der Umleitung (IP-Adresse natürlich anpassen):

RewriteCond %{REMOTE_ADDR} !^1\.1\.1\.1$

Damit wäre die Website intern über "www" erreichbar und von extern würde umgeleitet.

[RoyausHoy 0]

Moin,

 

danke noch mal für die Rückmeldungen.

 

Auf dem Server läuft nur das AD für die Benutzeranmeldung, kein Exchange. Eigentlich hatten wir schon überlegt ob wir überhaupt ein AD brauchen. Aber ist schon sinnvoll. Der Server wurde eben leider schon aufgesetzt als die Domäne extern zwar vorhanden war jedoch nicht benutzt wurde. Man sieht sich immer zweimal im Leben.

Das mit dem WEB-Proxy finde ich eine gute Idee, muss ich mir aber erst mal anlesen, habe ich noch nicht gemacht.

 

@nils das mit dem Umbennen werde ich wohl lassen, bringt ja nichts neue Probleme zu schaffen. Danke für die Warnung

 

Gruß Rüdiger

Hallo mwiederkehr, das ist ja auch ein interessanter Ansatz. Da wir ja eine Standleitung haben sollte so ein Einzeiler ja genügen. Testen wir morgen mal. Danke

[NilsK 2.934]

Moin,

 

vor 15 Stunden schrieb RoyausHoy:

Auf dem Server läuft nur das AD für die Benutzeranmeldung

[...] Eigentlich hatten wir schon überlegt ob wir überhaupt ein AD brauchen.

heißt was? Wie viele Clients, wie viele User? Wie viele Server sind AD-Mitglieder? Sind Dateiserver mit Berechtigungen dabei? Andere Systeme mit Windows-basierten Berechtigungen? SharePoint? SQL Server? Ein internes Mailsystem, das die Daten (Adressen, Gruppen) aus dem AD nutzt? Drucker, Scanner mit LDAP-Abfragen? Web-Gateways mit LDAP-/AD-Abfragen?

 

All das sind Beispiele für Systeme, die bei einer Migration (oder einer Umbenennung per rendom.exe für die, die auch bei 220 auf der Autobahn noch beschleunigen) zu berücksichtigen - und sehr wahrscheinlich zu bearbeiten - sind. Das mag eine Idee des Aufwands und des Risikos vermitteln. Und möglicherweise die Argumentation gegenüber der Marketing-Abteilung erleichtern.

 

Auch die genannten Workarounds sähe ich kritisch. Das mag vordergründig das Problem "lösen", aber wehe, man ändert irgendwo mal irgendwas - in ein paar Wochen kann sich niemand erinnern, was da hingebastelt wurde.

 

Gruß, Nils

 

[RoyausHoy 0]

Moin Nils,

 

danke für deine Anregungen.

 

Das ganze ist überschaubar. Weniger als 20 Clients und User. Nur ein Server.

Weder Sharepoint, SQL-Server oder internes Mailsystem. Lediglich ein Fileserver (Synology) ist in die AD eingebunden.

Da jetzt aber eh ein neuer Server bestellt worden ist, werde wir wohl gleich die Domäne mit anderen Namen neu aufsetzen.

Der Zeitrahmen ist ja überschaubar.

 

Gruß, Rüdiger