Khu rừng Active Directory có cùng tên với vùng DNS gốc và duyệt đến trang web có cùng tên

11

Liên quan đến câu hỏi trước đây của tôi về lý do tại sao nên sử dụng tên miền gốc làm tên rừng Active Directory của bạn ...

Tôi có một người chủ, người mà tôi sẽ gọi là ITclulessinc, với mục đích đơn giản (và trung thực). Nhà tuyển dụng này có một trang web được lưu trữ bên ngoài, www.ITclulessinc.com và một vài miền Active Directory. Không biết gì về CNTT, nhiều năm trước, họ đã tự lập một khu rừng Active Directory có tên ITcluelessinc.prvvà thực hiện những hành động tàn bạo không thể kể xiết để chống lại nó. Những tội ác tàn bạo này cuối cùng cũng bắt kịp chúng, và với mọi thứ sụp đổ xung quanh, chúng quyết định trả cho ai đó một khoản tiền khổng lồ để "sửa chữa nó", trong đó bao gồm di cư khỏi ITcluelessinc.prvkhu rừng bị phá hủy khủng khiếp .

Và tất nhiên, không biết gì về CNTT, họ không biết lời khuyên tốt khi nghe nó, chấp nhận đề nghị đặt tên cho khu rừng AD mới của họ ITcluelessinc.com, thay vì lời khuyên lành mạnh mà họ cũng có, và bắt đầu đưa vào đó. Nhanh chóng chuyển đến một vài giờ trước và chúng tôi có một công ty với hầu hết các công cụ của nó đã tham gia và sử dụng ITcluelessinc.prvrừng Active Directory cũ , với một số lượng lớn các công cụ mới hơn được tham gia và / hoặc sử dụng ITcluelessinc.comrừng. Để làm cho điều này hoạt động tương đối liền mạch, tôi đã sử dụng các trình chuyển tiếp có điều kiện trong DNS để gửi ITcluelessinc.comlưu lượng truy cập đến ITcluelessinc.prvvà ngược lại.

nhập mô tả hình ảnh ở đây

(Các tên miền corp.ITcluelessinc.comeval.ITcluelessinc.comtên miền được đặt tên chính xác mà tôi đã đến và thiết lập sau đó và chưa có liên quan.)

Quay lại vài giờ trước, và một nhân viên phi kỹ thuật của ITclulessinc đã nhận thấy rằng cô ấy không thể duyệt đến www.ITclulessinc.com từ máy trạm của mình (trong mạng công ty ITcluelessinc) và quyết định rằng đây là sự cố, vì vậy cô đã liên hệ Nhân viên VIP của ITclulessinc, người quyết định điều này phải được giải quyết hầu hết Ricky-tick. Thông thường, không phải là một vấn đề lớn, hãy thêm một bản ghi A wwwtrong vùng DNS ITcluelessinc.comvà bạn có thể duyệt trang web, miễn là bạn không thử liên kết trần trụi.

nhập mô tả hình ảnh ở đây

Vì vậy, có vẻ như tất cả đều được thiết lập đúng. Chuyển tiếp, wwwnhập máy chủ trong DNS, tuy nhiên, các máy khách sử dụng ITcluelessinc.prvbộ điều khiển miền làm máy chủ DNS sẽ hết thời gian kết nối khi cố gắng duyệt đến www.ITclulessinc.com , thay vì trang web tôi nhận được từ mạng gia đình.

Có ai có bất kỳ suy nghĩ nào về cách tôi có thể cho phép các máy khách nội bộ của ITcluelessinc.prvtên miền duyệt www.ITclulessinc.com , với sự hiện diện của ITcluelessinc.comrừng Active Directory và các giao nhận có điều kiện mà nó cần không? Hoặc, thay vào đó, có ai [người khác] tin rằng cách duy nhất để làm cho nó hoạt động là thoát khỏi ITcluelessinc.comrừng Active Directory không?

vẻ như thiết lập mà tôi có bây giờ nên hoạt động, nhưng rõ ràng là không, và tôi không biết tôi đã mua một môi trường thử nghiệm mà điều này gây rối để thử nghiệm. Và với giá trị của nó, tôi đã phần nào đề nghị một cách lịch sự rằng cách duy nhất để khắc phục điều này là di chuyển đến các khu rừng được đặt tên đúng mà tôi đã thiết lập và khi đó không phải là một câu trả lời đủ tốt, hãy lên kế hoạch lưu trữ một tấm gương của trang web ITcluelessinc.combộ điều khiển miền của chúng tôi cho đến khi phá vỡ mọi thứ .

domain-name-system  active-directory 
Vô vọngN00b
nguồn
1
Điều đó sẽ hoạt động - nó phản ánh thiết lập tôi đã có ở một công việc cũ (như một miền xấu để sử dụng cho khu rừng của bạn, bạn có thiện cảm của tôi), trừ hai không gian tên và giao nhận. Là các hệ thống máy khách nhận được phản hồi DNS NXDomain đang cố gắng giải quyết wwwtên hoặc chúng có nhận được địa chỉ không chính xác không? Hoặc, thay vào đó, họ có nhận được đúng địa chỉ nhưng không thể kết nối với địa chỉ đó (là trang web được lưu trữ trên các máy chủ trong mạng, gây ra sự cố NAT kẹp tóc)?
Shane Madden
1
@ShaneMadden: Suy nghĩ của tôi chính xác và được thảo luận trong một cuộc trò chuyện riêng tư. Nó sẽ hoạt động, nhưng không, và tôi không biết tại sao không. Điều khác duy nhất tôi muốn đề xuất vào thời điểm này là khởi động một gói chụp trên máy khách .prv và xem điều gì xảy ra khi họ cố gắng duyệt www.
joeqwerty
@ShaneMadden Họ dường như có được địa chỉ đúng với một nslookup, và không nên có bất kỳ cái kẹp tóc nào NAT tham gia, vì trang web được lưu trữ bên ngoài. (Máy khách -> .prv DC -> .com DC -> tường lửa -> interwebs). Tôi đã thấy công việc này trước đây khi các máy trên miền rootdnsname đang cố truy cập rootdnsname, nhưng vẫn chưa thấy các máy khách tham gia vào một tên miền khác cần truy cập trang web rootdnsname và rootdnsname. ... Vậy đó là những gì tôi nghĩ vấn đề phải có.
HoplessN00b
1
Tôi đồng ý với Evan. Liên quan đến một nửa và đã làm việc cho một công ty khác có liên quan đến việc chia não vô nghĩa, một mẹo đáng nói là bạn có thể khiến các máy chủ DNS đối mặt công khai của mình kiểm soát bản ghi (hoặc tên miền phụ) bằng cách chèn NSbản ghi. Với điều kiện tường lửa cho phép liên lạc từ các DC đến máy chủ DNS đối diện bên ngoài, điều này làm giảm bớt cơn ác mộng phần nào và các hồ sơ đối mặt với công chúng có thể được quản lý trên máy chủ đối mặt công khai.
Andrew B
@AndrewB Câu chuyện có thật, ITclulessinc đã thuê ngoài DNS của mình cho một nhà cung cấp bên ngoài, nhưng không biết cái nào và không thể tìm ra, do đó không có thủ thuật NS nào trên máy chủ tên bên ngoài. Nhưng tôi sẽ ghi nhớ điều đó cho $ next_job, cảm ơn.
HoplessN00b

Câu trả lời:

8

Nếu khách hàng đang giải quyết đúng tên máy chủ thì bạn đã gặp vấn đề khác. DNS sẽ ra khỏi hình ảnh một khi tên máy chủ được giải quyết bởi máy khách.

Một số điều cần suy nghĩ:

  • Có phải khách hàng đang sử dụng bất kỳ loại proxy HTTP nào để truy cập Internet không? Liệu proxy có thông tin DNS chính xác có sẵn?

  • Bộ đệm DNS trông như thế nào trên máy khách sau khi thử truy cập không thành công? Bạn có thấy đúng địa chỉ IP được lưu trong bộ nhớ cache cho tên máy chủ không?

  • Điều gì thực sự xảy ra trên máy khách? Bạn có thấy một kết nối bị kẹt trong trạng thái SYN_SENT đến đúng địa chỉ IP của máy chủ, cổng TCP 80 không?

  • Có bất kỳ quy tắc tường lửa nào có thể liên quan đến việc chặn truy cập vào địa chỉ của trang web không?

Điều này có mùi giống như vấn đề tường lửa / proxy / bộ đệm / bộ lọc, không phải là vấn đề DNS.

Thật không may, tôi không thể nói gì về việc thoát khỏi miền Active Directory được đặt tên xấu. Thật không may là họ đã chọn thực hiện tuyến đường đó, nhưng về mặt kỹ thuật thì điều này có thể hoạt động. (Tôi ghét loại thực hành đặt tên xấu này, quá ... "tệ hại", tôi tin, là cách tôi đã đề cập đến nó trong quá khứ ... ...)

Evan Anderson
nguồn
1
If the clients are resolving the hostname properly then you've got another problem. Chết tiệt. Nếu đó là trường hợp, nó có thể là webproxy asstastic của chúng tôi. Tôi đã hạnh phúc hơn nhiều khi tôi nghĩ rằng nó có thể không thể giải quyết được về mặt kỹ thuật và cuối cùng họ đã phải sửa lỗi $ # @ ^% ing của họ. :(
HoplessN00b
2
Kiểm tra với máy chủ hoặc máy tính nội bộ bỏ qua mọi webproxy, v.v. và kiểm tra lại. Giống như Evan và Shane đã nói, chắc chắn có thể thực hiện được với bản ghi www. Những gì không thể thực hiện được chỉ là một bản ghi mặc định như itcluessinc.com giải quyết cho trang web trong trường hợp này.
TheCleaner
Vâng, vậy hãy đoán xem điều gì xảy ra khi CNTT không quản lý các trang web và bộ phận quyết định thay đổi công ty lưu trữ? Đúng vậy, wwwbản ghi A cũ không hoạt động, sysadmin nổi giận và làm nặng thêm bệnh xơ gan của anh ta.
HoplessN00b
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.