Lokální doména

[Josef Jindra]

Zdravím, jak řešíte problém s otevíráním firemních webových stránek z lokální sítě když máte název lokální domény shodný s veřejnou ( firma.cz x firma.cz ), ?

[Reklama]

[jjrsk]

A jsi schopen nejak specifikovat co mas za problem?

Normalne bych rek ze se pouziva split dns, ale otazka zni, jestli vim na co se ptas.

[alex6bbc]

https://en.m.wikipedia.org/wiki/Split-horizon_DNS

[dzavy]

Pokud je destinace reálně stejná, dá se přejít na IPv6-only (tj. pouze AAAA záznam) a bude to fungovat odkudkoliv

[robac]

Zdravím, jak řešíte problém s otevíráním firemních webových stránek z lokální sítě když máte název lokální domény shodný s veřejnou ( firma.cz x firma.cz ), ?

Zadani jak stehno. Jedina korektni odpoved je asi "ruzne".

Kdybych mel naladu to resit, tak bych se zeptal:

• Co vubec resite za problem? Mate nejaky nebo Vas to jen zajima?
• Pokud je to realna situace, tak je to spatny design (shodny nazev domeny). Pro lokalniu sit pouzijte subdomenu (pokud uz to nemate zadratovane treba v AD).
• Pouzivate AD? Jaky DNS server je pouzit v LAN (Windows, BIND, Dnsmasq, nějaké veřejné DNS...)?
• Kde je umístěn web server (tj. jestli je nebo není v té LAN)?
• Případně jaký máte firewall (pomoci může třeba Cisco ASA DNS doctoring nebo Hairpin NAT)?

[Reklama]

[Filip Jirsák]

Především – nedělal bych to. Použil bych a interní web subdoménu. Zařízení, která budou přecházet mezi vnitřní sítí a internetem, mohou mít nakešovaný nějaký obsah, bude se tam míchat cookies a úložiště prohlížeče, mohou tam být problémy s hlavičkami.

Když už byste chtěl riskovat tenhle postup, pak buď pomocí DNS split-horizon směřujte uživatele na různé IP adresy podle toho, zda se DNS dotazují s vnitřní sítě nebo z internetu. (Tam můžete znovu narazit na problém s kešováním, tentokrát u DNS). Nebo na jednom HTTPS serveru rozlišujte, zda uživatel přichází z vnitřní sítě či z internetu (pokud oba weby běží na stejném serveru).

[Josef Jindra]

Omlovám se, opravdu jsem ten problém hodně špatně popsal. Jde o to, že lokální active directory včetně lokálního dns serveru má stejný název domény jako veřejná doména ve které je umístěn web - ten je hostován ve veřejném prostoru.
Problém je, že uživatelé v lokální síti nemouhou tím pádem přistupovat na tyto webové stránky, lokální DNS jim to přeloží jako adresu lokálního AD řadiče nikoliv jako veřejnou adresu webu. Porty asi chytat nejdou, 443 port používá pro sebe i AD řadič, možná by šlo chytat http/https, POST a GET požadavky a přehazovat je ven ?

[jjrsk]

Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?

Muzes tomu externimu webu pridat nejaky dalsi nazev jakozto alias, a primet uzivatele pouzivat ten ...

Jakykoli jiny "reseni" tohodle navrhu infrastruktury povede jen k tomu, ze to stejne nebude fungovat.

[Josef Jindra]

Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?

Muzes tomu externimu webu pridat nejaky dalsi nazev jakozto alias, a primet uzivatele pouzivat ten ...

Jakykoli jiny "reseni" tohodle navrhu infrastruktury povede jen k tomu, ze to stejne nebude fungovat.

Ano prosím, opravdu se jmenují stejně. Hlavní stranu webu dovedu otevřít jako www.firma.cz nicméně linky uvnitř webu jsou dané jako firma.cz/něco a nedonutím vývojáře aby to předělal, takže to nefunguje.

[jjrsk]

Tak tu ty "vyvojare" jmenuj, at aspon vime koho poslat k certu, kdyby nahodou meli neco dodavat.

Kazdy normalni web takto funguje bydefault, protoze kazdy normalni web pouziva relativni odkazy.

[FKoudelka]

Zdravím, jak řešíte problém s otevíráním firemních webových stránek z lokální sítě když máte název lokální domény shodný s veřejnou ( firma.cz x firma.cz ), ?

No split DNS, takže veřejnost to bude resolvovat na public adresu a ve firmě na privátní.
Plus static NAT.
Nenávidím to, jsem pro subdomény.

[FKoudelka]

Jako ze ten ADckovy srv se jmenuje firma.cz a stejne se jmenuje externi web?

Muzes tomu externimu webu pridat nejaky dalsi nazev jakozto alias, a primet uzivatele pouzivat ten ...

Jakykoli jiny "reseni" tohodle navrhu infrastruktury povede jen k tomu, ze to stejne nebude fungovat.

že web se jmenuje firma.cz je běžné,i kdyby měl jinou adresu zvenku a zevnitř ale proč se proboha takto jmenuje AD server? Ten má být AD.firma.cz. proč nemají i ostatní servery hostname firma.cz ?

[honzako]

Tak ono se to AD mělo jmenovat firma.local
Toť dle MS doporučení.

Vzhledem k úrovni dotazu a problému bych si tipl že jsi v nějaké malé firmě, předělej to na ten .local
Bude to pakec, může to být složité a mohou být problémy.
Hledej příkaz    rendom

Nechci dlouho hledat, vyhledej na googlu, ale možná zde je něco užitečného
https://www.pluralsight.com/blog/software-development/rename-active-directory-domain

[jjrsk]

Tak ono se to AD mělo jmenovat firma.local
...

Proc proboha radis takovyhle voloviny ... tohle nebude fungovat projistotu vubec. Ty zjevne vubec nemas paru o tom, ze .local je tld vyhrazena pro mDNS. Jako bonus na to nikdy nevystavis certifikat takze za 2-3 roky ti naprosto vse odmitne s naprosto cimkoli komunikovat.

Verejna tld v AD je naprosto vporadku a spravne, jen u toho je treba pouzit mozek.

Edit: A to nemluvim o tom, ze zjevne nemas ani paru o tom, co zmena v AD obnasi, a ze to udelat vubec nejde. Pokud tam maji exchange, tak to znamena ho celej smazat a nainstalovat znova ... napriklad.

[Filip Jirsák]

že web se jmenuje firma.cz je běžné,i kdyby měl jinou adresu zvenku a zevnitř ale proč se proboha takto jmenuje AD server? Ten má být AD.firma.cz. proč nemají i ostatní servery hostname firma.cz ?

Já tu s dovolením odcituji tohle ↑ řešení, protože to je správné řešení, tak aby nezapadlo…