我已经配置了一个 TFS 服务器,以便 IIS 站点绑定适用于 tfs.oursite.com。不幸的是,现在任何想要访问它的人都需要将 tfs.oursite.com 添加到他们的主机文件中。我将如何更新 Active Directory,以便域中的任何人都可以通过访问 tfs.oursite.com 访问服务器?
编辑:不确定这是否会像我希望的那样工作。我将其设置为使用 tfs.oursite.com 的原因是因为我已经有一个用于 SSL 的 *.oursite.com 证书。但是 TFS 服务器所在的实际域名称不同,并以 .net 结尾。
似乎源和目标实际上必须在服务器的域上。我是否理解正确,这是否意味着我不能这样做,如果没有,是否有替代解决方案?
基本上我只想要主机文件的相同行为,但要应用于整个域而不仅仅是本地计算机。这可能吗?
在 DNS 中添加指向服务器实际 A 记录的 CNAME/Alias:
在 Windows DNS 管理中,右键单击 oursite.com 正向查找区域,然后单击新别名 (CNAME)。在 Alias Name 字段中输入“tfs”,在 FQDN 字段中输入 TFS 服务器的实际 FQDN。通常您不想勾选“允许任何经过身份验证的用户更新 DNS 记录...”的复选框
了解服务器的版本会很有帮助,但通常:
为了测试它是否有效,ping 新别名和来自原始 NS 条目的 IP 应该响应(当然,如果 ICMP 正确启用并正常运行)。
因为您的内部 AD 域是
oursite.net并且您要使用的域名是tfs.ourdomain.com您将无法按照先前答案中的建议在您的 AD dns 服务器中创建 CNAME 记录。tfs.ourdomain.com最简单的做法是为托管您的域的 DNS 服务器添加一条 A 记录ourdomain.com,这可能是第 3 方。如果 TFS 只能在内部访问,则可以为该 A 记录使用私有 IP 地址。将您的内部网络 IP 方案暴露给攻击者的风险非常小,但是如果没有其他攻击媒介被利用,这些信息实际上是无用的。如果您打算让 TFS 从外部访问,则此方法是必需的。或者,您可以将该区域添加
tfs.ourdomain.com到您的 AD DNS 服务器。此方法对于“仅供内部使用”的站点很有用,并消除了先前建议中确定的风险。tfs.ourdomain.comname字段留空,并指定 TFS 服务器的静态 IP。我在这里看到所有其他答案,建议您将 A 记录或 CNAME 记录添加到 DNS 区域数据库。然而,根据我的经验,我建议做一些稍微不同的事情。
除了创建 DNS 记录之外,还有另一种方法。由于它不是域控制器,因此默认情况下它不会有此命令,因为它包含在 AD DS 角色中。但是,您可以安装 AD 的远程服务器管理工具,并且此命令应包含在安装中。安装后,您可以在常规 cmd 提示符(不需要 PowerShell)中使用以下命令来不更改,而是将计算机名称添加到系统中。
“网络计算机名(系统的当前 FQDN)/添加(备用 FQDN)”
请注意,如果您要更改系统名称,上述命令也可以使用。在这种情况下,您可以在执行上一个命令后立即执行此命令:
“网络计算机名(系统的当前 FQDN)/makeprimary(备用 FQDN)”
从那里,您将需要重新启动服务器以使名称更改生效并让服务器向 DNS 注册其更改。
我推荐这种方法有两个原因。首先,虽然它可能不是最简单的解决方案,但它确实确保尽可能多地继续使用新名称。例如,有时 SMB 不能很好地处理 CNAME 或其他 A 记录。此外,即便如此,新的计算机名称将与系统的常规名称一起向 DNS 注册,并将使用正确的 IP 地址动态更新,这与手动创建的 A 记录不同(尽管 CNAME 记录会正确更新)。
此外,还有另一个原因 - 如果 LLMNR(链接本地多播名称解析)尚未在网络上禁用,并且您的应用程序使用它来联系服务器,则使用此方法将确保 LLMNR 将继续使用这两个名称,因为系统将被配置为侦听这两个名称。
编辑 - 我读错了问题。我刚刚意识到有问题的服务器不是域控制器,因此由于 AD DS 角色,默认情况下没有“netdom”命令。CNAME 和 A 可以正常工作,但根据我的经验,将备用名称添加到服务器总是更好。
编辑 2 - 为此,您将需要建立一个新区域,最好是集成 AD