Ліс Active Directory з тим самим іменем, що і коренева DNS-зона, і перегляд веб-сайту з тим самим іменем

11

Пов’язане з цим попереднім моїм питанням про те, чому це погана ідея використовувати ім'я кореневого домену як ліс вашого імені Active Directory ...

У мене є роботодавець, якого я буду називати ITcluelessinc, для простоти (і чесності). Цей роботодавець має веб-сайт, розміщений зовні, www.ITcluelessinc.com та кілька доменів Active Directory. Будучи незрозумілими щодо ІТ, багато років тому вони створили себе в лісі Active Directory під назвою ITcluelessinc.prvта здійснили невимовні жорстокості проти нього. Ці невимовні злодіяння врешті-решт наздогнали їх, і, коли все навколо них руйнується, вони вирішили заплатити комусь величезний кусок грошей, щоб "виправити це", що включало міграцію з жахливо розбитого ITcluelessinc.prvлісу.

І звичайно, не знаючи про ІТ, вони не знали гарних порад, почувши це, прийняли рекомендацію назвати свій новий ліс AD ITcluelessinc.com, замість розумних порад, які вони також отримали, і почали ставити на нього речі. Швидкий перехід до декількох годин тому, і у нас є компанія, де більшість її речей приєдналася до старого ITcluelessinc.prvлісу Active Directory та використовує його з великою кількістю нових речей, приєднаних до та / або використовуючи ITcluelessinc.comліс. Щоб зробити цю роботу відносно безпроблемною, я використовував умовних експедиторів у DNS для пересилання ITcluelessinc.comтрафіку на ITcluelessinc.prvта навпаки.

введіть тут опис зображення

(The corp.ITcluelessinc.comі eval.ITcluelessinc.comдомени правильно названі домени я прийшов і встановити пізніше, і не релевантні тільки поки.)

Повернувшись до декількох годин тому, і нетехнічний працівник ITcluelessinc помітив, що вона не може перейти на www.ITcluelessinc.com зі своєї робочої станції (всередині корпоративної мережі ITcluelessinc) і вирішив, що це проблема, тому вона контактує VIP-працівник ITcluelessinc, який вирішив це, повинен вирішити більшість Рікі-галочок. Зазвичай, це не велика справа, додайте запис A wwwпід зоною DNS для ITcluelessinc.com, і ви можете переглядати сайт, доки ви не спробуєте відкрити посилання.

введіть тут опис зображення

Отже, здається, що все налаштовано правильно. Експедитори, wwwвхід хостингу в DNS і, тим не менш, клієнти, що використовують ITcluelessinc.prvконтролер домену як сервери DNS, отримують час очікування з'єднання під час спроби перейти на www.ITcluelessinc.com замість веб-сторінки, яку я отримую з моєї домашньої мережі.

Хтось має якісь думки щодо того, як я можу дозволити внутрішнім клієнтам ITcluelessinc.prvдомену переглядати www.ITcluelessinc.com , враховуючи наявність ITcluelessinc.comлісу Active Directory та необхідних йому умовних пересилачів? Або, по черзі, хтось ще [хто] переконує, що єдиний спосіб змусити це - позбутися ITcluelessinc.comлісу Active Directory?

Це , здається , як налаштувати мене зараз повинні працювати, але це явно не так , і я поняття не маю , де я б заготовити середовища тестування це переплуталися експерименту с. І для чого це варто, я дещо ввічливо запропонував, що єдиний спосіб виправити це - міграція до правильно названих лісів, які я створив, і коли це недостатньо хороша відповідь, плануйте розмістити дзеркало веб-сайту на всіх наші ITcluelessinc.comконтролери домену поки це все не порушує .

domain-name-system  active-directory 
БезнадійноN00b
джерело
1
Це має спрацювати - це відображає налаштування, яке я мав на старій роботі (такий поганий домен використовувати для вашого лісу, ви маєте моє співчуття) за вирахуванням двох просторів імен та пересилачів. Чи клієнтські системи, що отримують відповідь NXDomain DNS, намагаються вирішити wwwім’я, чи отримують неправильну адресу? Або, по черзі, вони отримують правильну адресу, але не мають змоги підключитися до цієї адреси (веб-сайт розміщений на серверах всередині мережі, викликаючи проблему NAT-шпильки)?
Шейн Мадден
1
@ShaneMadden: Мої думки точно і обговорювалися в приватній розмові. Це має працювати, але ні, і я не знаю, чому ні. Єдине інше, що я б запропонував на даний момент, - це запустити захоплення пакету на клієнті .prv і подивитися, що відбувається, коли вони намагаються перейти на веб-сайт www.
joeqwerty
@ShaneMadden Вони, схоже, отримують правильну адресу за допомогою nslookup, і не повинно бути жодних зачісок NAT, оскільки веб-сайт розміщений зовні. (Клієнт -> .prv DC -> .com DC -> брандмауер -> переплетення). Я бачив цю роботу раніше, коли машини в домені rootdnsname намагалися отримати доступ до імені rootdnsname, але ще не бачили клієнтів, приєднаних до іншого домену, якому потрібно отримати доступ до веб-сайту rootdnsname та rootdnsname. ... Отже, це я думаю, що проблема повинна бути.
HopelessN00b
1
Я згоден з Еваном. На півдорозі, і працюючи в іншій компанії, яка займається дурною мозковою дурницею, одна хитрість, яку варто згадати, полягає в тому, що ви можете змусити ваших публічних серверів DNS контролювати запис (або субдомен), вставляючи NSзаписи. За умови, що брандмауер дозволяє спілкуватися з постійного струму до зовнішнього сервера DNS, це дещо полегшує кошмар, і записи, що стоять перед громадськістю, можуть бути керовані на відкритому сервері.
Андрій Б
@AndrewB Справжня історія, ITcluelessinc передав свій DNS зовнішньому постачальнику, але не знає, який з них, і не може це зрозуміти, отже, немає жодних хитрощів щодо зовнішніх серверів імен. Але я маю це на увазі за $ next_job, дякую.
HopelessN00b

Відповіді:

8

Якщо клієнти вирішують ім'я хоста належним чином, у вас є ще одна проблема. Після того, як клієнт вирішить ім'я хоста, DNS не відображається.

Деякі речі, про які варто подумати:

  • Чи клієнти використовують будь-який проксі HTTP для доступу до Інтернету? Чи доступний проксі-сервер правильної інформації DNS?

  • Як виглядає кеш DNS на клієнті після невдалої спроби доступу? Ви бачите правильну IP-адресу, кешовану для імені хоста?

  • Що насправді відбувається з клієнтом? Ви бачите, що з'єднання застрягло в SYN_SENT стані до правильної IP-адреси сервера, порту TCP 80?

  • Чи є правила брандмауера, які можуть стосуватися блокування доступу до адреси веб-сайту?

Це пахне проблемою між брандмауером / проксі / кешем / фільтром, а не проблемою DNS.

На жаль, нічого надзвичайно переконливого я не можу сказати, щоб позбутися погано названого домену Active Directory. Прикро, що вони вирішили пройти цей маршрут, але технічно це може спрацювати. (Я ненавиджу цю погану практику іменування теж ... "мерзенна", я вважаю, як я згадував про це в минулому ... Хочете, я мав кілька корисних порад, щоб надіслати вам аргумент перейменування домену ...)

Еван Андерсон
джерело
1
If the clients are resolving the hostname properly then you've got another problem. Чорт. Якщо це так, це, ймовірно, наш підручний веб-проксі. Я був набагато щасливішим, коли думав, що це не може бути технічно вирішеним, і їм доведеться нарешті вже виправити свій $ # @ ^% ing безлад. :(
HopelessN00b
2
Тестуйте на сервері або внутрішньому комп’ютері, який обходить будь-який веб-проксі тощо, і повторіть тест. Як сказали Еван і Шейн, це, безумовно, можливо зробити із записом www. Те, що не піддається виконанню, - це лише запис за замовчуванням, як, наприклад, itcluessinc.com для веб-сайту в цьому випадку.
TheCleaner
Так, тож здогадайтесь, що станеться, коли ІТ не керує веб-сайтами та департаментом, який вирішує змінити хостинг-компанії? Правильно, старий wwwзапис "A" не працює, сисадмін розгніваний і посилює його цироз.
HopelessN00b
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.