Fórum Root.cz
Hlavní témata => Server => Téma založeno: Josef Jindra 07. 06. 2023, 14:06:57
-
Zdravím, jak řešíte problém s otevíráním firemních webových stránek z lokální sítě když máte název lokální domény shodný s veřejnou ( firma.cz x firma.cz ), ?
-
A jsi schopen nejak specifikovat co mas za problem?
Normalne bych rek ze se pouziva split dns, ale otazka zni, jestli vim na co se ptas.
-
https://en.m.wikipedia.org/wiki/Split-horizon_DNS
-
Pokud je destinace reálně stejná, dá se přejít na IPv6-only (tj. pouze AAAA záznam) a bude to fungovat odkudkoliv ;)
-
Zdravím, jak řešíte problém s otevíráním firemních webových stránek z lokální sítě když máte název lokální domény shodný s veřejnou ( firma.cz x firma.cz ), ?
Zadani jak stehno. Jedina korektni odpoved je asi "ruzne".
Kdybych mel naladu to resit, tak bych se zeptal:
- Co vubec resite za problem? Mate nejaky nebo Vas to jen zajima?
- Pokud je to realna situace, tak je to spatny design (shodny nazev domeny). Pro lokalniu sit pouzijte subdomenu (pokud uz to nemate zadratovane treba v AD).
- Pouzivate AD? Jaky DNS server je pouzit v LAN (Windows, BIND, Dnsmasq, nějaké veřejné DNS...)?
- Kde je umístěn web server (tj. jestli je nebo není v té LAN)?
- Případně jaký máte firewall (pomoci může třeba Cisco ASA DNS doctoring nebo Hairpin NAT)?
-
Především – nedělal bych to. Použil bych a interní web subdoménu. Zařízení, která budou přecházet mezi vnitřní sítí a internetem, mohou mít nakešovaný nějaký obsah, bude se tam míchat cookies a úložiště prohlížeče, mohou tam být problémy s hlavičkami.
Když už byste chtěl riskovat tenhle postup, pak buď pomocí DNS split-horizon směřujte uživatele na různé IP adresy podle toho, zda se DNS dotazují s vnitřní sítě nebo z internetu. (Tam můžete znovu narazit na problém s kešováním, tentokrát u DNS). Nebo na jednom HTTPS serveru rozlišujte, zda uživatel přichází z vnitřní sítě či z internetu (pokud oba weby běží na stejném serveru).
-
Omlovám se, opravdu jsem ten problém hodně špatně popsal. Jde o to, že lokální active directory včetně lokálního dns serveru má stejný název domény jako veřejná doména ve které je umístěn web - ten je hostován ve veřejném prostoru.
Problém je, že uživatelé v lokální síti nemouhou tím pádem přistupovat na tyto webové stránky, lokální DNS jim to přeloží jako adresu lokálního AD řadiče nikoliv jako veřejnou adresu webu. Porty asi chytat nejdou, 443 port používá pro sebe i AD řadič, možná by šlo chytat http/https, POST a GET požadavky a přehazovat je ven ?
-
Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?
Muzes tomu externimu webu pridat nejaky dalsi nazev jakozto alias, a primet uzivatele pouzivat ten ...
Jakykoli jiny "reseni" tohodle navrhu infrastruktury povede jen k tomu, ze to stejne nebude fungovat.
-
Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?
Muzes tomu externimu webu pridat nejaky dalsi nazev jakozto alias, a primet uzivatele pouzivat ten ...
Jakykoli jiny "reseni" tohodle navrhu infrastruktury povede jen k tomu, ze to stejne nebude fungovat.
Ano prosím, opravdu se jmenují stejně. Hlavní stranu webu dovedu otevřít jako www.firma.cz nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje.
-
Tak tu ty "vyvojare" jmenuj, at aspon vime koho poslat k certu, kdyby nahodou meli neco dodavat.
Kazdy normalni web takto funguje bydefault, protoze kazdy normalni web pouziva relativni odkazy.
-
Zdravím, jak řešíte problém s otevíráním firemních webových stránek z lokální sítě když máte název lokální domény shodný s veřejnou ( firma.cz x firma.cz ), ?
No split DNS, takže veřejnost to bude resolvovat na public adresu a ve firmě na privátní.
Plus static NAT.
Nenávidím to, jsem pro subdomény.
-
Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?
Muzes tomu externimu webu pridat nejaky dalsi nazev jakozto alias, a primet uzivatele pouzivat ten ...
Jakykoli jiny "reseni" tohodle navrhu infrastruktury povede jen k tomu, ze to stejne nebude fungovat.
že web se jmenuje firma.cz je běžné,i kdyby měl jinou adresu zvenku a zevnitř ale proč se proboha takto jmenuje AD server? Ten má být AD.firma.cz. proč nemají i ostatní servery hostname firma.cz ?
-
Tak ono se to AD mělo jmenovat firma.local
Toť dle MS doporučení.
Vzhledem k úrovni dotazu a problému bych si tipl že jsi v nějaké malé firmě, předělej to na ten .local
Bude to pakec, může to být složité a mohou být problémy.
Hledej příkaz rendom
Nechci dlouho hledat, vyhledej na googlu, ale možná zde je něco užitečného
https://www.pluralsight.com/blog/software-development/rename-active-directory-domain
-
Tak ono se to AD mělo jmenovat firma.local
...
Proc proboha radis takovyhle voloviny ... tohle nebude fungovat projistotu vubec. Ty zjevne vubec nemas paru o tom, ze .local je tld vyhrazena pro mDNS. Jako bonus na to nikdy nevystavis certifikat takze za 2-3 roky ti naprosto vse odmitne s naprosto cimkoli komunikovat.
Verejna tld v AD je naprosto vporadku a spravne, jen u toho je treba pouzit mozek.
Edit: A to nemluvim o tom, ze zjevne nemas ani paru o tom, co zmena v AD obnasi, a ze to udelat vubec nejde. Pokud tam maji exchange, tak to znamena ho celej smazat a nainstalovat znova ... napriklad.
-
že web se jmenuje firma.cz je běžné,i kdyby měl jinou adresu zvenku a zevnitř ale proč se proboha takto jmenuje AD server? Ten má být AD.firma.cz. proč nemají i ostatní servery hostname firma.cz ?
Já tu s dovolením odcituji tohle ↑ řešení, protože to je správné řešení, tak aby nezapadlo…
-
bych přidal do domény novy DC pojmenovany PDC.firma.cz(klidne na virtualu) stary bych demotnul a a pak znej udelal BDC.firma.cz.
zabiješ dve mouchy jednou ranou
-
Děkuji za rady, není problém přidat nový DC controler s názvem pdc.firma.cz ale pořád zůstane kolize názvu lokální domény s veřejnou a lokální DNS bude dotazy na firma.cz směřovat na lokální kontroler. Nebo jsem něco zanedbal ?
-
Děkuji za rady, není problém přidat nový DC controler s názvem pdc.firma.cz ale pořád zůstane kolize názvu lokální domény s veřejnou a lokální DNS bude dotazy na firma.cz směřovat na lokální kontroler. Nebo jsem něco zanedbal ?
to že budou směřovat DNS dotazy na lokální DNS asi nevadí. musel bys na FW forwardovat traffic http/s na venkovní web server ostatní na PDC. udělal bych A zaznam pro www.firma.cz. To že se webovka tvari jako firma.cz a ne jako www.firma.cz je podle mě řešené přes nastavení web serveru konkrétně .htaccess a RewriteCond podminku
RewriteRule ^(.*)$ http://www.%{HTTP_HOST}/$1 [R=301,L]
-
Koukni se sem.
Tohle nechápu, radši se budeš desetkrát ptát, místo toho aby jsi něco sám hledal a nebo se dovzdělal.
https://www.youtube.com/watch?v=fS3cpFd2jxE&ab_channel=MSFTWebCast
Přejmenuj tu doménu!
Microsoft s tím musí počítat, že se firmy přejmenovávají, že se konsolidují apod. Je to legální postup.
A na migraci uživatelských profilů použij toto, když tedy nepoužiješ jiný ze způsobů.
https://www.forensit.com/index.html
-
že web se jmenuje firma.cz je běžné,i kdyby měl jinou adresu zvenku a zevnitř ale proč se proboha takto jmenuje AD server? Ten má být AD.firma.cz. proč nemají i ostatní servery hostname firma.cz ?
Já tu s dovolením odcituji tohle ↑ řešení, protože to je správné řešení, tak aby nezapadlo…
Diky
-
Děkuji za rady, není problém přidat nový DC controler s názvem pdc.firma.cz ale pořád zůstane kolize názvu lokální domény s veřejnou a lokální DNS bude dotazy na firma.cz směřovat na lokální kontroler. Nebo jsem něco zanedbal ?
Viz můj komentář výše, nicméně po zavedení debilního split DNS u nás musíme na náš web přistupovat zevnitř na www.firma.cz , web firma.cz funguje jen zvenku. Nikomu to z firmy asi nevadí, ptž tam nechodíme :-)
-
Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?
Ne, AD server se tak rozhodne nejmenuje. Server se jmenuje: "hostname_dc.firma.cz", ale netlogon service kazdeho DC vytvori A DNS zaznam pro "firma.cz" a IP adresu serveru. To je vlastnost AD (predpokladam, ze vedle SRV zaznamu je to soucast mechanismu vyhledavani DC). Vedle tohoto zaznamu je v DNS i A zaznam pro "hostname_dc.firma.cz"
Tak ono se to AD mělo jmenovat firma.local
Toť dle MS doporučení.
Jiz dlouhe roky neni.
Proc proboha radis takovyhle voloviny ... tohle nebude fungovat projistotu vubec. Ty zjevne vubec nemas paru o tom, ze .local...
To je sice pekne a muzeme se na tom shodnout, ale nemeni to nic na tom, ze to vice nez 10 let bylo doporuceni MS. Da se to dohledat ve spouste publikaci.
bych přidal do domény novy DC pojmenovany PDC.firma.cz(klidne na virtualu) stary bych demotnul a a pak znej udelal BDC.firma.cz.
zabiješ dve mouchy jednou ranou
Videl bych to takto:
- pridat do domeny PDC.firma.cz
- premigrovat FSMO role!
- stary DC vypnout a vyzkouset, ze vse funguje
- az pote demote puvodniho DC
Alse stejne to nepomuze. Viz prvni odpoved.
Přejmenuj tu doménu!
Tohle bych nechtel delat sam ani na malem AD (kde bych si na to ale asi jeste troufnul), natoz abych to doporucoval nekomu jinemu.
Nejjednodusi se mi zda presvedcit vyvojare webu, aby implementovali relativni odkazy nebo web nepouzivat :)
-
Jeste:
Pokud by DC a klienti nebyli ve stejne VLAN (idealni stav) a byl mezi nimi nejaky rozumny firewall, tak by se dal provoz na DC a TCP/443 DNATovat na externi web server. Ale je to opicarna.
-
Takže zase problém, který po adopci IPv6 nebude existovat?
-
nemyslim, ze ipv6 vyleci hloupost nekterych "adminu".
-
Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?
Muzes tomu externimu webu pridat nejaky dalsi nazev jakozto alias, a primet uzivatele pouzivat ten ...
Jakykoli jiny "reseni" tohodle navrhu infrastruktury povede jen k tomu, ze to stejne nebude fungovat.
Ano prosím, opravdu se jmenují stejně. Hlavní stranu webu dovedu otevřít jako www.firma.cz nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje.
Jak nedonutíte ? Dyť jim to zevnitř firmy negunguje. Tak ať je zjebe ředitel a zastaví jim platby.
Nebo je vyhoďte a dejte to jinému. Přece nebudete platit zpola nefunkční web …..
Když rozdrbete AD, nastavujete krk místo nich a to vedení fakt neocení.
-
Zdravím, už jsem to asi vyřešil. Necham to zatím nějaký čas běžet v režimu testování abych odchitil kdyby se něco rozbilo.
Je to vcelku triviální když člověk pochopí jak přesně funguje AD a LDAP.
-
Zdravím, už jsem to asi vyřešil. Necham to zatím nějaký čas běžet v režimu testování abych odchitil kdyby se něco rozbilo.
<sarkasmus>Tak to jsme radi a jeste radsi jsme, ze si reseni nechate jen pro sebe.</sarkasmus>
Je to vcelku triviální když člověk pochopí jak přesně funguje AD a LDAP.
<sarkasmus>Ano, to je takova trivialni uloha. Sednu si nad to a za dve hodinky chapu, jak LDAP a cely MS AD funguje.</sarkasmus>
Za sarkasmus sorry...
-
Zdravím, už jsem to asi vyřešil. Necham to zatím nějaký čas běžet v režimu testování abych odchitil kdyby se něco rozbilo.
Je to vcelku triviální když člověk pochopí jak přesně funguje AD a LDAP.
Vy nás napínáte….
-
Takže zase problém, který po adopci IPv6 nebude existovat?
Uprimne netusim, jak v by mohlo IPv6 pomoci v pripade, kdyz si dve rozdilne (funkcne, logicky, geograficky) veci pojmenujete stejne.
-
Zdravím, už jsem to asi vyřešil. Necham to zatím nějaký čas běžet v režimu testování abych odchitil kdyby se něco rozbilo.
Je to vcelku triviální když člověk pochopí jak přesně funguje AD a LDAP.
Vy nás napínáte….
Nejdřív to pořádně otestuji abych nepostoval něco co bude následně působit problémy.
-
Nemyslim si, ze vim vse nejlepe, takze se muzu splest, ale me zadne trivialni reseni nenapada a vzhledem k Vasemu ostychu se o zvoleny postup podelit bych si tipnul, ze to bude nejaka opicarna.
Jeden tip na "trivialni" reseni bych mel (neco, co je doporuceno NIKDY NEDELAT), ale necham si ho take pro sebe... 8)
-
V MS doméně je to celkem jednoduché a dá se to udělat dvěma způsoby.
1) Mám veřejné webovky a intranet.
- Potom se v DNS udělá nová primární zóna s názvem www.firma.cz. V ní se udělá A záznam IPv4 a IPv6 na veřejné webovky.
- V zóně firma.cz se udělá záznam pro intranet
Uživatel zadá www.firma.cz a dostane se na veřejné webovky. Potom uživatel zadá firma.cz a dostane se intranet.
2) Jsou pouze veřejné webovky bez intranetu.
- Potom se v DNS udělá nová primární zóna s názvem www.firma.cz. V ní se udělá A záznam IPv4 a IPv6 na veřejné webovky.
- Přidá se http Redirection. Je schovaný v IIS.
- Teď už stačí v IIS v HTTP Redirect nastavit www.firma.cz
Uživatel se potom vždy dostane na webovky.
PS: Microsoft už nějakou dobu doporučuje mít veřejnou a lokální doménu se stejným účtem.
-
V MS doméně je to celkem jednoduché a dá se to udělat dvěma způsoby.
1) Mám veřejné webovky a intranet.
- Potom se v DNS udělá nová primární zóna s názvem www.firma.cz. V ní se udělá A záznam IPv4 a IPv6 na veřejné webovky.
- V zóně firma.cz se udělá záznam pro intranet
Uživatel zadá www.firma.cz a dostane se na veřejné webovky. Potom uživatel zadá firma.cz a dostane se intranet.
2) Jsou pouze veřejné webovky bez intranetu.
- Potom se v DNS udělá nová primární zóna s názvem www.firma.cz. V ní se udělá A záznam IPv4 a IPv6 na veřejné webovky.
- Přidá se http Redirection. Je schovaný v IIS.
- Teď už stačí v IIS v HTTP Redirect nastavit www.firma.cz
Uživatel se potom vždy dostane na webovky.
PS: Microsoft už nějakou dobu doporučuje mít veřejnou a lokální doménu se stejným účtem.
Zajímavý řešení. Nicméně hlavní problém je jinde (což dost z nás napoprvé nepostřehlo)
Cituji OP: Hlavní stranu webu dovedu otevřít jako www.firma.cz nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje.
Dle mne je řešení jediné: nakopat vývojáře.
-
Cituji OP: Hlavní stranu webu dovedu otevřít jako www.firma.cz nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje.
Dle mne je řešení jediné: nakopat vývojáře.
Řešením je několik řádků v .htaccess
#Vynutit do adresy www
RewriteCond %{HTTP_HOST} ^firma.cz
RewriteRule (.*) http://www.firma.cz/$1 [R=301,QSA,L]
#Konec vynucení www
Potom i linky budou mít www.
-
Cituji OP: Hlavní stranu webu dovedu otevřít jako www.firma.cz nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje.
Dle mne je řešení jediné: nakopat vývojáře.
Řešením je několik řádků v .htaccess
#Vynutit do adresy www
RewriteCond %{HTTP_HOST} ^firma.cz
RewriteRule (.*) http://www.firma.cz/$1 [R=301,QSA,L]
#Konec vynucení www
Potom i linky budou mít www.
Jakkoli to není můj dotaz, klobouček, pane. Znamenám si vás do oblíbených :-)
-
Cituji OP: Hlavní stranu webu dovedu otevřít jako www.firma.cz nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje.
Dle mne je řešení jediné: nakopat vývojáře.
Řešením je několik řádků v .htaccess
#Vynutit do adresy www
RewriteCond %{HTTP_HOST} ^firma.cz
RewriteRule (.*) http://www.firma.cz/$1 [R=301,QSA,L]
#Konec vynucení www
Potom i linky budou mít www.
Linky nebudou mít www. Tohle na odkazy na webu nebude mít vůbec žádný vliv. A mimochodem, pokoušet se přepisovat odkazy na serveru je vždy až to poslední zoufalé řešení. Protože nikdy nelze zaručit, že bude fungovat 100%. Odkazy mohou totiž být pro server neviditelné – může je třeba vytvářet JavaScript, mohou chodit v datech…
Ta vaše konfigurace přesměrovává na serveru požadavky směřující na firma.cz na www.firma.cz. Takže prohlížeč se připojí na server firma.cz, a server mu odpoví „tady to nehledej, je to na www.firma.cz“. Jenže původní dotaz byl o tom, že klient se na správný webový server firma.cz vůbec nepřipojí, protože ho DNS směruje někam jinam.
-
Pokud to vyvojari nechteji upravit, tak jsou jen tyto moznosti:
1] vyvojari maji nejakeho sefa, tak to resit s nim
2] zbavit se kockopsa, AD domenu firma.cz zmigrovat do poddomeny (at uz prejmenovanim, ci cistou migraci export/import do nove domeny, co pobezi soubezne po dobu migrace)
3] reverzni proxy na public firma.cz:{80|443} a backendem bude webserver obhospodarujici domenu firma.cz i www.firma.cz. AD pouziva SRV zaznamy, takze lokalne pujde dal, ale nechci ted domyslet veskere mozne dusledky verejne IP na firma.cz pro funkcnost AD a dalsich technologii na to navazanych.
-
V MS doméně je to celkem jednoduché a dá se to udělat dvěma způsoby.
1) Mám veřejné webovky a intranet.
- Potom se v DNS udělá nová primární zóna s názvem www.firma.cz. V ní se udělá A záznam IPv4 a IPv6 na veřejné webovky.
- V zóně firma.cz se udělá záznam pro intranet
Uživatel zadá www.firma.cz a dostane se na veřejné webovky. Potom uživatel zadá firma.cz a dostane se intranet.
2) Jsou pouze veřejné webovky bez intranetu.
- Potom se v DNS udělá nová primární zóna s názvem www.firma.cz. V ní se udělá A záznam IPv4 a IPv6 na veřejné webovky.
- Přidá se http Redirection. Je schovaný v IIS.
- Teď už stačí v IIS v HTTP Redirect nastavit www.firma.cz
Uživatel se potom vždy dostane na webovky.
PS: Microsoft už nějakou dobu doporučuje mít veřejnou a lokální doménu se stejným účtem.
Uprimne tomu moc nerozumim. Problem je v tom, ze A DNS na firma.cz jsou nastaveny na domenove radice (a je silne nedoporuceno to menit).
Jestli jsem to tedy pochopil a navrhem je zprovoznit HTTP redirect na DC. Tak vidim dva problemy:
* toto rozhodne neni MS uz tak 15 let doporuceno (michani roli na Windows Server),
* musi se to nainstalovat na vsech DC (pokud nekdo provozuje jen jedno DC tak by se mel nechat vysetrit) a co s tim HTTP trafficem udela round robin DNS nevim.
Ad PS.: MS doporucuje pouzivat pro AD subdomenu verejne domeny, ktera neni nikde jinde pouzita!
-
Cituji OP: Hlavní stranu webu dovedu otevřít jako www.firma.cz nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje.
Dle mne je řešení jediné: nakopat vývojáře.
Řešením je několik řádků v .htaccess
#Vynutit do adresy www
RewriteCond %{HTTP_HOST} ^firma.cz
RewriteRule (.*) http://www.firma.cz/$1 [R=301,QSA,L]
#Konec vynucení www
Potom i linky budou mít www.
Linky nebudou mít www. Tohle na odkazy na webu nebude mít vůbec žádný vliv. A mimochodem, pokoušet se přepisovat odkazy na serveru je vždy až to poslední zoufalé řešení. Protože nikdy nelze zaručit, že bude fungovat 100%. Odkazy mohou totiž být pro server neviditelné – může je třeba vytvářet JavaScript, mohou chodit v datech…
Ta vaše konfigurace přesměrovává na serveru požadavky směřující na firma.cz na www.firma.cz. Takže prohlížeč se připojí na server firma.cz, a server mu odpoví „tady to nehledej, je to na www.firma.cz“. Jenže původní dotaz byl o tom, že klient se na správný webový server firma.cz vůbec nepřipojí, protože ho DNS směruje někam jinam.
To už pak má řešení, byť debilní: říct užíkům ať tam píšou to www., resp. dají si to tak do záložek, byť pro tuto jedinou vyjímku.
Anebo IP adresu :-) Já to tak raději dělám , nebo do hosts tabulky, kdybych narazil při administraci firmy na nedostupný nebo špatně konfigurovaný DNS.
-
To už pak má řešení, byť debilní: říct užíkům ať tam píšou to www., resp. dají si to tak do záložek, byť pro tuto jedinou vyjímku.
Anebo IP adresu :-) Já to tak raději dělám , nebo do hosts tabulky, kdybych narazil při administraci firmy na nedostupný nebo špatně konfigurovaný DNS.
Kdyby to chtěl Josef Jindra vyřešit takhle, tak se tu neptá, jak se právě tomuhle vyhnout.
-
Přejmenuj tu doménu!
Microsoft s tím musí počítat, že se firmy přejmenovávají, že se konsolidují apod. Je to legální postup.
Kolikrat si to delal?
ne, MS s tim rozhodne nepocita, neni na to zadnej regulerni postup, a v 90% to skonci tim, ze budes domenu zakladat od nuly, protoze se neco podela.
Domena se da prejmenovat jenom za zcela konkretnich podminek a MS to (z velmi dobrych duvodu) vrele nedoporucuje delat.
AD server jako takovy se dost pravdepodobne nejmenuje firma.cz ... ale vsechny stroje v domene pristupuji prave presne na adresu firma.cz ... je uplne jedno kolik tech AD serveru je (mely by byt alespon dva).
Jeste:
Pokud by DC a klienti nebyli ve stejne VLAN (idealni stav) a byl mezi nimi nejaky rozumny firewall, tak by se dal provoz na DC a TCP/443 DNATovat na externi web server. Ale je to opicarna.
Tak presne tohle by se nedalo ... dalsi co nikdy windowsi domenu nevidel ze? Mimo jine ti na tom serveru velice pravdepodobne bezi napriklad prave web srv, a to v podobe rozhrani certifikacni autority.
Dle mne je řešení jediné: nakopat vývojáře.
Presne
...
Od kdy rewite meni zaznam v dns?
-
https://www.dell.com/support/kbdoc/cs-cz/000134402/dns-ndash-uacute-vahy-in-a-windows-environment-with-ndash-toto%C5%BEn-eacute-s-n-aacute-zvy-intern-iacute-ch-a-extern-iacute-ch-dom-eacute-n
-
To už pak má řešení, byť debilní: říct užíkům ať tam píšou to www., resp. dají si to tak do záložek, byť pro tuto jedinou vyjímku.
Anebo IP adresu :-) Já to tak raději dělám , nebo do hosts tabulky, kdybych narazil při administraci firmy na nedostupný nebo špatně konfigurovaný DNS.
Kdyby to chtěl Josef Jindra vyřešit takhle, tak se tu neptá, jak se právě tomuhle vyhnout.
Zdravím, jak řešíte problém s otevíráním firemních webových stránek z lokální sítě když máte název lokální domény shodný s veřejnou ( firma.cz x firma.cz ), ?
tohle je hlavní a jediny jeho dotaz . že se tomu chce vyhnout , jsem nikde nenašel.
Moje poslední odpověd je nejjednodušší řešení, resp. hack.
-
tohle je hlavní a jediny jeho dotaz . že se tomu chce vyhnout , jsem nikde nenašel.
Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?
Muzes tomu externimu webu pridat nejaky dalsi nazev jakozto alias, a primet uzivatele pouzivat ten ...
Jakykoli jiny "reseni" tohodle navrhu infrastruktury povede jen k tomu, ze to stejne nebude fungovat.
Ano prosím, opravdu se jmenují stejně. Hlavní stranu webu dovedu otevřít jako www.firma.cz nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje.
-
...
Od kdy rewite meni zaznam v dns?
Rewrite v .htaccess nemění záznam v DNS. Vynutí přidání www.
-
Rewrite v .htaccess nemění záznam v DNS. Vynutí přidání www.
Ale vynutí to redirectem přes server. Tudíž se nejprve musí prohlížeč umět připojit na to doménové jméno bez www – a když už to tak máte nakonfigurované, tak tam můžete dát třeba reverzní proxy.
-
Rewrite v .htaccess nemění záznam v DNS. Vynutí přidání www.
Ale vynutí to redirectem přes server. Tudíž se nejprve musí prohlížeč umět připojit na to doménové jméno bez www – a když už to tak máte nakonfigurované, tak tam můžete dát třeba reverzní proxy.
Částečně souhlasím. Může být reverzní proxy pokud je k dispozici. Pokud je Rewrite, vše se děje na straně webového serveru a prohlížeč se může připojit bez www, ale i s www. Pokud www není, tak je podstrčeno a kompletní adresa vrácena do prohlížeče. To, co jsem tady dal pracuje perfektně u Wedosu. Předpokládám, že i jinde to bude funkční.
-
Částečně souhlasím. Může být reverzní proxy pokud je k dispozici. Pokud je Rewrite, vše se děje na straně webového serveru a prohlížeč se může připojit bez www, ale i s www. Pokud www není, tak je podstrčeno a kompletní adresa vrácena do prohlížeče. To, co jsem tady dal pracuje perfektně u Wedosu. Předpokládám, že i jinde to bude funkční.
Evidentně vůbec nevíte, co mod_rewrite dělá. Je to modul do webového serveru Apache, který nastavuje přepisovací pravidla pro adresy – a některá pravidla (ta, co jste použil), používají přesměrování pomocí HTTP stavových kódů. Obdobnou funkcionalitu mají všechny běžné webové servery, takže to samozřejmě bude fungovat všude, ne jenom u Wedosu.
Přesměrování pomocí HTTP hlaviček znamená, že se prohlížeč připojí třeba na adresu http://firma.cz. Webový server na této adrese na základě konfigurace odpoví kódem 308 Permanent Redirect a pošle prohlížeči hlavičku Location s obsahem https://www.firma.cz. Z toho se prohlížeč dozví, že požadovaný obsah není na adrese http://firma.cz, ale nově se má ptát na https://www.firma.cz. Takže pošle nový dotaz, tentokrát na https://www.firma.cz (což může být úplně jiný server, než pro firma.cz).
Takže za prvé, prohlížeč se nejprve musí připojit na http://firma.cz, aby se o přesměrování dozvěděl – a to je to, s čím má tazatel problém. A za druhé, to přesměrování se nedělá celé na serveru, právě naopak, server pošle prohlížeči zpět novou adresu a přesměrování dělá prohlížeč. To je ten flag R=301, který jste v konfiguraci uvedl. Navíc jste uvedl zastaralý stavový kód 301, který by se neměl používat, protože nemá přesně definované chování – místo něj se používá kód 308.
Navíc pokud vývojáři webu počítají s tím, že web běží na firma.cz, mohou někde iniciativně mít přesměrování z www.firma.cz na firma.cz. Když vy na webovém serveru uděláte opačné přesměrování, vyrobíte zacyklení a uživatel se na tu stránku nedostane. Také se klidně může stát třeba to, že na stránce bude formulář pro upload videa, který povede na firma.cz, uživatel tam uploaduje video, které má stovky mega – aby na závěr uploadu prohlížeč dostal informaci, že to má poslat jinam, a začne celé video znovu uploadovat na novou adresu. Zkrátka dělat přesměrování bez vědomí té aplikace za tím není dobrý nápad.
-
Jeste:
Pokud by DC a klienti nebyli ve stejne VLAN (idealni stav) a byl mezi nimi nejaky rozumny firewall, tak by se dal provoz na DC a TCP/443 DNATovat na externi web server. Ale je to opicarna.
Tak presne tohle by se nedalo ... dalsi co nikdy windowsi domenu nevidel ze? Mimo jine ti na tom serveru velice pravdepodobne bezi napriklad prave web srv, a to v podobe rozhrani certifikacni autority.
Vasemu konfrontacnimu tonu uprimne nerozumim. Windows domen jsem videl/uvedl v zivot/spravoval dost (co je dost?) a mozna se budete divit, ale naprosta vetsina tech, ktere jsem videl, Windows CA nemela. Automaticky predpokladat CA u AD, jehoz spravci si ani neumi vybrat spravne jmeno domeny a na 99% ji provozuji pouze s jednim DC, je dukazem Vasi arogance.
Pokud jste si nevsiml, tak jsem hlavne navrhoval reseni, za ktere jste pana Koudelku pochvalil.
Mimochodem, i kdyby tam ta CA byla, tak bych to dokazal bez problemu vyresit (narozdil od Vas, zjevne), ale byla by to opicarna, coz jsem napsal uz v tom prispevku.
-
"nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje"
Není tohle zcela samostatný problém typu rozdílu mezi absolutní a relativní adresou, cestou?