謝謝門神大大的回應 ~
恩，我想您說的沒有錯，可是我要怎麼分析問題進而除錯呢 ...
IT 真的是高深的學問呀 ~

謝謝

我找找我20年的文章(開玩笑的 XD
其實很簡單
把內外的 DNS 分開就好了
對外的讓ISP託管
最簡單

恩恩，我去中華電信申請一下好了，看起來 DNS 要兩台(對內跟對外分開) 似乎比較不會有太多的問題

謝謝各位先進的幫忙，我研究一下怎麼處理再上來更新狀態喔

自管DNS 才需要兩台
外部給HINET託管,這樣只要一台AD管內部就好

謝謝竹本大大的回應，
恩，我原本打算自管，不過因為公司硬體機台還沒添購，剛剛申請拖管了，正在修改內部的 DNS 呢，真的感激各位大大的支援

不過因為 Hinet 需要 24 小時生效，我想我修改了之後要測試在報告給大大們也是明天了呢，會在更新狀態的唷，再次感激各位大哥們的 ~~

謝謝 ray 的分享，

並不是任何人給我不花錢的建議，而是公司本身就是剛起步的，我也懂省錢也許未來會花大錢的概念，但是都付錢我想也沒有練習機會進步，我倒是很感激公司給我機會練習架設跟學習。

有關不想招惹爛攤子上身這件事情應該不能說 IT 基本原則，應該是個人要不要分享的問題。當然也會有人詢問，然後還怪別人教的不仔細的，但是那些都是人的問題，不應該是拿專業來當擋箭牌。我當軟體主管時有詢問我都會回答，當然也遇過問個沒完沒了很煩的狀況，但是在他問的過程，他跟我都在進步，事後也是一種棒的經驗(雖然當下很煩很辛苦)。所以分享與不分享，我想個人喜好就好，不會怪您沒給建議的，畢竟是我自己的問題求救，沒有資格怪您呢。

還是感激您嚕 ~ 謝謝

以下幾件事情會造成你的災難:
(以下寫 AD 實則指 Domain Controller)

1. AD 主機雙網卡
2. AD 主機直接面對 Internet
3. 用 AD 當 Public DNS Server
4. 用 AD 當 NAT 分享器
5. 沒有備份機制
6. 沒有備援 DC (AD)

1.的架構會讓你以後出現如鬼魅般的現象, 有時有問題, 有時又自己消失. 你很難重現問題, 所以很難查修.

2.的架構會讓你的主機很快就備駭客攻破,接手,製造釣魚信件,或是藏入木馬偷取公司資料

3.的架構會讓外界足以探測你的內網狀況,得知如何客製入侵你系統的自動化工具;同時,這也會讓你內網的 DNS 查詢異常, 外網的 DNS 遭受 Flooding 攻擊. AD 的 DNS Server 不適合拿來當 Public DNS 使用.

4.的架構會讓你的 AD 反應速度變慢,導致 Exchange 經常會讀不到他的 config 或者是權限, 用戶 Outlook 連線不正常, Autodiscover 找不到 Exchange Server.

5.是我猜的,應該沒有. 所以這個系統一旦磁碟機掛掉, 全部帳號和信箱都救不回來.

6.如果有5, 沒有6.還可以從備份復原. 如果有 6., 沒有 5., 災難發生後, 至少你還可以救回帳號和 Exchange 設定. 但是我猜: 你兩個都沒有?

裡面還有其他更多的問題, 例如: DNS Model? Exchange 的 Autodiscover?...等等, 但前面的架構不解, 後面這些問題也解不了...

AD 像是人身上的內褲, 你應該把它藏到最深處, 只有最信任的人可以接觸到他, 其他陌生人都看不見; 不應該把它放到 Internet 上去到處招搖見人.

既然沒有經費, 選擇 AD+Exchange 架構是個奇怪的決策, 你這一整套下來, 買齊所有授權(Server+CAL), 也要花上好幾十萬, 而且還要準備將來每隔幾年升級的費用, 一次就是好幾十萬.

很多 OpenSource 的產品可以達到你的需求, 建議看看:

帳號管理: Zentyal
郵件伺服器: Zimbra

他們在不花錢的狀況下, 就可以完成 AD+Exchange 大約 70% 的工作. 當然, 不一定適合你的環境, 例如: 你或許需要經常派送 GPO 政策到每台電腦上?...但這些都超出本篇主題的範圍.

讓我直接放棄解題, 是因為看到這句描述:

所以就在外部的 IP 利用 Browser 想說能不能連到 AD

聽到這個說法, 腦中出現的情境是:

一個不到 10 歲的小孩, 自己爬上汽車駕駛座, 轉動鑰匙發動了引擎, 然後問旁邊的人:「我要怎麼把車開出去?」

我們都知道這是件危險的事情:
小孩身高不夠, 腳踏不到踏板, 眼睛看不到路, 手臂無法靈活轉動方向盤, 不知道如何駕馭車子的性能...光憑日常經驗, 也知道開出去凶多吉少, 就算這小孩是達賴轉世, 你也不會允許他把車子開走的!!

但是你的架構和描述, 就像看到上面的情境一樣. 為了你和他人的安全, 我必須把你趕下車來, 讓有經驗和能力的人接手.

不是不讓你開車, 但是先練好再來...

有心要學很值得鼓勵, 但要選對管道...你提出的問題, 至少還需要 182 小時的前置訓練課程作為基礎, 才會知道我們為什麼要這樣設計和解決...你或許知道其中 10 幾個小時的內容了, 但還是相差很多...

我沒辦法在這裡把那 182 小時的東西全部寫出來, 所以只好放棄救你...

(提示: AD 上面怎麼會有 Web 可以讓你從外面連進來? 如果你想連的 Web 是指 /certsrv 的話, 那整個企業根憑證都會被偷走, 讓別人足以偽造你的 Exchange Server)

DC 放到外網 ... 哈哈哈 ... 勇氣可嘉
與微軟配合過 ... 他家總部也沒放到外網 , 放到外網的是 RODC ... XD

不要把雞蛋都放到同一個籃子 ...