Групповые политики samba4 dns.

0

1

Всем привет. Может кто подскажет:

Windows по-умолчанию ищет каталог sysvol по пути: \\domainname\sysvol\domainname

Где domainname - имя моего домена.

Сам PDC имеет A запись для себя. Но так-как обращение идёт по пути: \\domainname - это требует, чтобы @ запись ссылалась на ip адрес моего PDC. Но мне требуется, чтобы @ - для моего домена указывало на другой ip , где у меня живёт сайт. Противном же случае, люди не смогут попасть из браузера на http://domainname

Почему sysvol ищется по адресу: \\domainname , а не по адресу: \\fqdn-of-pdc.domainname ? Может можно как-то что-то где-то покрутить в samba?

Ссылка

←	Call center software

Новый часовой пояс

→

Почему sysvol ищется по адресу: \\domainname , а не по адресу: \\fqdn-of-pdc.domainname ?

Потому что контроллеров домена может быть несколько. И каждый из них должен иметь A запись для @.

Решение: DNS-домен Active Directory отдельно, DNS-домен сайта - отдельно.

Стоит уяснить, что DNS для AD - это часть инфраструктуры, а не самостоятельная служба. Поэтому там всё прибито гвоздями мощно.

Pinkbyte ★★★★★
(01.10.14 15:35:20 MSK)
Последнее исправление: Pinkbyte 01.10.14 15:35:53 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 01.10.14 15:35:20 MSK

Да, у меня было подозрение на:

Потому что контроллеров домена может быть несколько. И каждый из них должен иметь A запись для @.

Но блиннн... Когда, я спрашивал, тут, чем мне грозит: a domainname DC as a domainname of my company, мне сказали, что нет никаких проблем...

То есть у меня имя домена = имени внешнего сайта компании.

Собственно, чего можно придумать в моём случае чтобы не переименовывать домен? И люди могли войти изнутри сети на сайт по-адресу: http://company.ru

Приходит в голову: redirect 301 c http://company.ru на http://www.company.ru , а на www повесить А запись с внешним ip адресом. Но в таком случае мне ssl сертификат придётся покупать на http://www.company.ru. - Это кошерно?

Для прокси сервера настроить split view, и чтобы он возвращал мне внешний ip, при запросе через него.

Может есть более правильные решения?

DALDON ★★★★★
(01.10.14 15:55:02 MSK) автор топика
Последнее исправление: DALDON 01.10.14 15:56:13 MSK (всего исправлений: 1)

Ответ на: комментарий от DALDON 01.10.14 15:55:02 MSK

Вариант с www достаточно кошерен

Pinkbyte ★★★★★
(01.10.14 16:32:00 MSK)

Ответ на: комментарий от Pinkbyte 01.10.14 16:32:00 MSK

Ну то есть, я на samba4 pdc поднимаю nginx, и говорю ему: 301 на www? Что в этом случае с сертификатами для сайта? Может подскажешь: что за чудо чудное такое: покупаешь сертификат на domain.ru , а он и действителен для http://www.domain.ru? Как такое возможно?

Наткнулся на такое:

the more reputable SSL certificate issuers will allow BOTH the «www» and non-www versions in the SAME certificate, for no extra charge.

DALDON ★★★★★
(01.10.14 16:49:30 MSK) автор топика
Последнее исправление: DALDON 01.10.14 16:50:23 MSK (всего исправлений: 1)

Ответ на: комментарий от DALDON 01.10.14 16:49:30 MSK

Что в этом случае с сертификатами для сайта?

Подымаешь nginx только по http, делаешь редирект на другую машину с https, сертификат на имя, на которое делаешь редирект.

что за чудо чудное такое: покупаешь сертификат на domain.ru , а он и действителен для http://www.domain.ru? Как такое возможно?

wildcard сертификат(для *.domain.ru) например. Стоит недешево, но работает для всех поддоменов.

the more reputable SSL certificate issuers will allow BOTH the «www» and non-www versions in the SAME certificate, for no extra charge.

А, это не wildcard, это multiple CN. Сертификат для множества доменов, соответственно для domain.ru и для http://www.domain.ru

Pinkbyte ★★★★★
(01.10.14 17:36:59 MSK)

Ответ на: комментарий от Pinkbyte 01.10.14 17:36:59 MSK

wildcard сертификат(для *.domain.ru) например.

Это я не рассматриваю. :)

А, это не wildcard, это multiple CN.

И по-дефолту сейчас такие выпускают? Ибо такой строки не видел в прайсах.

DALDON ★★★★★
(01.10.14 17:42:40 MSK) автор топика

Ответ на: комментарий от DALDON 01.10.14 17:42:40 MSK

И по-дефолту сейчас такие выпускают?

Нет, нужно договариваться с issuer

Pinkbyte ★★★★★
(01.10.14 17:55:54 MSK)

Ссылка

Ответ на: комментарий от DALDON 01.10.14 15:55:02 MSK

Приходит в голову: redirect 301 c http://company.ru на http://www.company.ru , а на www повесить А запись с внешним ip адресом.

Или просто nginx как прокси. Но на контроллере домена не очень хорошо…

MumiyTroll ★★★
(01.10.14 18:14:10 MSK)

Ответ на: комментарий от MumiyTroll 01.10.14 18:14:10 MSK

Это не то, что бы не очень хорошо. - Это мягко говоря фейл... Вот уж не ожидал я такой засады...

DALDON ★★★★★
(01.10.14 18:27:18 MSK) автор топика

Ссылка

а не надо именовать AD именем сайта.

~~zgen~~ ★★★★★
(02.10.14 12:18:14 MSK)

Ответ на: комментарий от zgen 02.10.14 12:18:14 MSK

Спасибо КЭП. :) Знал бы о таких граблях, не стал бы так делать... :) Но теперь уже поздно.

DALDON ★★★★★
(02.10.14 14:13:35 MSK) автор топика
Последнее исправление: DALDON 02.10.14 14:13:47 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Call center software

Admin

Новый часовой пояс

→

Похожие темы