Độ phân giải DNS không thành công trong trình duyệt web nhưng nslookup thành công

Chúng tôi là một tổ chức nhỏ, 300 chỗ ngồi với môi trường BYOD và Active Directory hỗn hợp (Windows Server 2012 Standard, Windows 7 Enterprise) và chúng tôi đang gặp một vấn đề rất lạ liên quan đến các lỗi phạm vi rất cụ thể để giải quyết tên miền của tổ chức trên miền của chúng tôi tham gia, máy móc do công ty kiểm soát. Với mục đích của cuộc thảo luận này, tôi sẽ sử dụng company.com thay vì tên miền của chúng tôi.

Lý lịch:

• Bộ điều khiển miền Active Directory được đặt tại 172.16.1.3
• Máy AD / DC cũng đang chạy DHCP, DNS và HTTP (IIS)
• Các trang web tổ chức của chúng tôi tại company.com và subsomain.company.com được IIS lưu trữ trên máy AD / DC
• Chúng tôi có một kịch bản DNS phân tách trong đó máy chủ AD / DC được sử dụng để phân giải DNS nội bộ nhưng một máy chủ ngoài trang web khác cung cấp độ phân giải DNS cho các truy vấn công khai
• Địa chỉ IP tương ứng với company.com và subomain.company.com là địa chỉ IP công cộng được sử dụng bởi tường lửa ở rìa mạng của chúng tôi (cả trên máy chủ DNS AD / DC và máy chủ DNS ngoài trang web)
• Tường lửa được cấu hình chính xác để NAT chuyển các yêu cầu HTTP và HTTPS mà nó nhận được trên địa chỉ IP công cộng của nó sang IP bên trong của máy chủ AD / DC và phản ánh

Cảnh 1:

• Một người dùng trên máy Windows 7 Enterprise đã tham gia miền được kết nối trực tiếp với mạng cục bộ của chúng tôi với địa chỉ cục bộ 172.16.6.100 / 16, do máy chủ DHCP cấp.
• Mục nhập máy chủ DNS được cung cấp bởi DHCP (172.16.1.3)
• Người dùng này có thể truy cập các trang web được lưu trữ tại company.com và subomain.company.com
• Chỉnh sửa: nslookup đã được chạy trong kịch bản này và trả về chính xác bản ghi DNS thích hợp từ máy chủ DNS nội bộ (172.16.1.3)

Kịch bản 2:

• Cùng một người dùng trên cùng một máy Windows 7 Enterprise đã tham gia tên miền về nhà và kết nối Internet bằng ISP dân dụng của họ
• Các mục nhập máy chủ IP và DNS cho máy khách được DHCP cung cấp
• Người dùng này có thể truy cập bất kỳ tài nguyên internet nào, chẳng hạn như google.com
• Người dùng này không thể truy cập trang web tại company.com hoặc subomain.company.com (trả về lỗi "máy chủ không được giải quyết")
• Khi thành viên này chạy nslookup trên company.com họ DO nhận được địa chỉ IP công cộng đúng được cung cấp bởi DNS
• Yêu cầu HTTP / HTTPS đến địa chỉ IP thành công và một trang web được máy chủ trả về đúng cách
• Vấn đề này chiếm ưu thế trên tất cả các trình duyệt web
• Sử dụng tracert company.com trả về "không thể giải quyết tên hệ thống đích"
• Sử dụng ping company.com trả về "không thể tìm thấy công ty chủ.com"
• Khi chạy Wireshark trên máy khách trước / trong khi yêu cầu không thành công, không có gói nào được gửi bởi máy khách (cho độ phân giải DNS hoặc cho yêu cầu HTTP / ping / tracert ban đầu)
• Khởi động lại dịch vụ DNS Client không giải quyết được vấn đề
• Dừng dịch vụ DNS Client không giải quyết được vấn đề
• Sử dụng ipconfig / flushdns không giải quyết được vấn đề này
• Sử dụng tuyến / f không giải quyết được vấn đề này
• Đặt lại các kết nối mạng bằng cách đặt lại Netsh int ip không giải quyết được vấn đề này
• Chỉnh sửa: nslookup đã được chạy trong kịch bản này và trả về chính xác bản ghi DNS thích hợp từ máy chủ DNS được chỉ định bởi cài đặt DHCP của mạng được người dùng sử dụng

Kịch bản 3:

• Chính người dùng này trên máy tính Windows 7 Professional cá nhân (không tham gia tên miền) có thể truy cập các trang web tại company.com và subomain.company.com khi được kết nối với mạng cục bộ của chúng tôi
• Chỉnh sửa: nslookup đã được chạy trong kịch bản này và trả về chính xác bản ghi DNS thích hợp từ máy chủ DNS nội bộ (172.16.1.3)

Kịch bản 4:

• Chính người dùng này trên máy tính Windows 7 Professional cá nhân (không tham gia tên miền) có thể truy cập các trang web tại company.com và subomain.company.com khi kết nối mạng gia đình của họ
• Chỉnh sửa: nslookup đã được chạy trong kịch bản này và trả về chính xác bản ghi DNS thích hợp từ máy chủ DNS được chỉ định bởi cài đặt DHCP của mạng được người dùng sử dụng

Ghi chú cuối cùng:

Vấn đề này dường như được khái quát để ảnh hưởng đến tất cả các máy tính thuộc sở hữu của công ty. Chúng tôi đang sử dụng một hình ảnh hệ thống chung cho tất cả các máy tính thuộc sở hữu của công ty, vừa được tải vào tháng 8. Tôi đã lùng sục trên mạng để tìm kiếm các giải pháp khả thi và đã ra về tay trắng cho đến nay - tôi thực sự đánh giá cao bất kỳ đề xuất hoặc lời khuyên nào bạn có thể có.

Các máy tính gia nhập miền sẽ tìm kiếm DC của họ, không chỉ thực hiện tra cứu dựa trên DNS. Vì tên miền giống như trang web công cộng, nên họ sẽ tìm kiếm bản ghi SRV để cho họ biết cách đến DC và lấy thông tin tên miền. Vì không có DC trong mạng từ xa, họ không thể phân giải tên này bằng các phần cửa sổ nhận biết AD bình thường.

Khi bạn sử dụng ping hoặc (gần như) bất kỳ ứng dụng Windows nào, nó sẽ sử dụng ngăn xếp Windows IP đầy đủ, bao gồm cả các phần nói chuyện với AD. Trong khi NSLookup thực sự chỉ thực hiện một truy vấn DNS. Bạn đã xác minh điều này với dấu vết Wireshark của bạn, Windows không thực hiện tra cứu khi cố gắng truy cập company.com nhưng nslookup hiển thị tra cứu DNS thích hợp. Đây là lý do tại sao bạn không thể giải quyết tên miền thông qua ping hoặc trình duyệt web, nhưng nslookup vẫn ổn.

Giải pháp cho phần đầu tiên là sử dụng www.company.com để truy cập trang web cả bên trong và bên ngoài để khách hàng hoàn toàn bỏ qua việc tìm kiếm một DC.

Giải pháp cho phần thứ hai phức tạp hơn tùy thuộc vào tên miền phụ.company.com đề cập đến nội bộ cũng như bên ngoài. DC có bản ghi DNS cho tên miền phụ không, hoặc những yêu cầu đó chỉ được gửi đến máy chủ DNS bên ngoài? Nếu nó có bản ghi DNS, thì bản ghi đó ở đâu?

Tôi sẽ kiểm tra tệp HOSTS ( http://en.wikipedia.org/wiki/hosts_%28file%29#Location_in_the_file_system ) trên máy không chứa bất kỳ mục nào cho các máy chủ bạn đang cố truy cập. Tôi nghĩ rằng công cụ NSLOOKUP bỏ qua tệp máy chủ nhưng trình duyệt web thì không.

Tôi cũng sẽ kiểm tra xem bạn không có proxy được cấu hình trong trình duyệt web vì một số loại proxy cũng phân giải DNS.

Tôi cũng sẽ thử chạy trình duyệt ở "chế độ an toàn" (nghĩa là với tất cả các bổ trợ và plugin bị tắt) với IE ("iexplore -extoff") hoặc Firefox (giữ phím shift khi khởi động hoặc "firefox -safe-mode").

Tốt nhất là có thể thử với một trình duyệt web khác để thu hẹp xem đó là trình duyệt web hay HĐH.

Sau đó, nếu tôi vẫn không nhận được bất cứ nơi nào, tôi sẽ kiểm tra những dịch vụ nào được liên kết với bộ điều hợp mạng (tường lửa điên với các quy tắc cụ thể cản trở?)

Cuối cùng, và điều này đang đi lạc vào ngày càng khó xảy ra nhưng NSLOOKUP sẽ tự động nối máy tính hoặc kết nối tên miền cụ thể vào các truy vấn. Chẳng hạn, bộ định tuyến của tôi đặt tên miền là "bộ định tuyến" để mọi nslookup cho một cái gì đó như "matthew" thực sự tìm kiếm DNS cho "matthew.router", có thể trình duyệt web không làm điều này .. như bạn đã nói bạn đã làm một gói chụp không có vẻ như đây là vấn đề của bạn .. nhưng chỉ trong trường hợp bạn bỏ lỡ nó trong chụp gói hoặc môi trường chụp của bạn không hoàn toàn đúng :-).

Đây là những điều tôi sẽ thử và hy vọng điều này cũng sẽ giúp bạn :-).