Foresta di Active Directory con lo stesso nome della zona DNS principale e navigazione nel sito con lo stesso nome

In relazione a questa mia precedente domanda sul perché è una cattiva idea utilizzare il nome di dominio principale come nome della foresta di Active Directory ...

Ho un datore di lavoro, che chiamerò ITcluelessinc, ai fini della semplicità (e dell'onestà). Questo datore di lavoro ha un sito Web ospitato esternamente, www.ITcluelessinc.com e alcuni domini di Active Directory. Essendo all'oscuro dell'IT, molti anni fa, si stabilirono in una foresta di Active Directory denominata ITcluelessinc.prve compirono atrocità indicibili contro di essa. Queste atrocità indicibili alla fine li raggiunsero e, con tutto ciò che collassava intorno a loro, decisero di pagare a qualcuno un grosso pezzo di denaro per "ripararlo", che includeva la migrazione dalla ITcluelessinc.prvforesta orribilmente spezzata .

E naturalmente, essendo all'oscuro dell'IT, non hanno saputo dare buoni consigli quando l'hanno sentita, hanno accettato la raccomandazione di nominare la loro nuova foresta AD ITcluelessinc.com, invece dei consigli sani che hanno anche ricevuto, e hanno iniziato a mettere cose su di esso. Avanziamo rapidamente fino a poche ore fa e abbiamo un'azienda con la maggior parte delle sue cose unite e usando la vecchia ITcluelessinc.prvforesta di Active Directory, con una discreta quantità di cose più recenti unite e / o usando la ITcluelessinc.comforesta. Per far funzionare questo insieme in modo relativamente semplice, ho utilizzato i server d'inoltro condizionali nel DNS per inviare il ITcluelessinc.comtraffico ITcluelessinc.prve viceversa.

inserisci qui la descrizione dell'immagine

(I domini corp.ITcluelessinc.come eval.ITcluelessinc.comsono nomi corretti che ho inserito e impostato in seguito e non sono ancora pertinenti.)

Torna a poche ore fa e un dipendente non tecnico di ITcluelessinc ha notato che non può accedere a www.ITcluelessinc.com dalla sua workstation (all'interno della rete aziendale di ITcluelessinc) e ha deciso che si tratta di un problema, quindi contatta L'impiegato VIP di ITcluelessinc, che decide questo, deve essere risolto nella maggior parte dei casi. In genere, non è un grosso problema, aggiungi un record A per wwwsotto la zona DNS per ITcluelessinc.come puoi navigare nel sito, purché non provi il link nudo.

inserisci qui la descrizione dell'immagine

Quindi, sembra che tutto sia impostato correttamente. I server d'inoltro, la wwwvoce host nel DNS e, tuttavia, i client che utilizzano il ITcluelessinc.prvcontroller di dominio come server DNS ottengono un timeout di connessione quando provano a visitare www.ITcluelessinc.com , anziché la pagina Web che ottengo dalla mia rete domestica.

Qualcuno ha qualche idea su come posso consentire ai client interni del ITcluelessinc.prvdominio di navigare su www.ITcluelessinc.com , data la presenza della ITcluelessinc.comforesta di Active Directory e degli spedizionieri condizionali di cui ha bisogno? O, in alternativa, qualcun altro [è] convinto che l'unico modo per farlo funzionare sia sbarazzarsi della ITcluelessinc.comforesta di Active Directory?

Lo fa sembrare come la messa a punto che ho ora dovrebbe funzionare, ma non è chiaro, e non ho idea di dove mi piacerebbe procuro un ambiente di test questo incasinato di sperimentare. E per quello che vale, ho suggerito in qualche modo educatamente che l'unico modo per risolvere questo problema è migrare verso le foreste che ho creato correttamente e, quando questa non è una risposta abbastanza buona, ho in programma di ospitare un mirror del sito Web su tutto i nostri ITcluelessinc.comcontroller di dominio fino a quando non si rompe tutto .

domain-name-system active-directory

— HopelessN00b
fonte

Dovrebbe funzionare - rispecchia la configurazione che avevo in un vecchio lavoro (un dominio così cattivo da usare per la tua foresta, hai la mia simpatia), meno i due spazi dei nomi e gli spedizionieri. I sistemi client ricevono una risposta DNS NXDomain cercando di risolvere il wwwnome o ricevono un indirizzo errato? Oppure, in alternativa, stanno ottenendo l'indirizzo giusto ma non sono in grado di connettersi a quell'indirizzo (il sito Web è ospitato su server all'interno della rete, causando un problema NAT a forcina)?

— Shane Madden

@ShaneMadden: i miei pensieri esattamente e discussi in una conversazione privata. Dovrebbe funzionare, ma non funziona e non ho idea del perché. L'unica altra cosa che suggerirei a questo punto sarebbe di avviare un'acquisizione di pacchetti su un client .prv e vedere cosa sta succedendo quando provano a cercare www.

— joeqwerty,

@ShaneMadden Sembrano ottenere l'indirizzo giusto con un nslookup e non dovrebbe esserci alcun NAT tornante coinvolto, poiché il sito Web è ospitato esternamente. (Client -> .prv DC -> .com DC -> firewall -> interwebs). Ho visto questo lavoro prima quando le macchine sul dominio rootdnsname stavano tentando di accedere al nome rootdnsname, ma non hanno ancora visto i client uniti a un dominio diverso che devono accedere al sito web rootdnsname e rootdnsname. ... Quindi è un po 'quello che penso debba essere il problema.

— HopelessN00b,

Sono d'accordo con Evan. A metà strada, e avendo lavorato per un'altra società che si è impegnata in sciocchezze del cervello diviso, un trucco degno di nota è che puoi far sì che i tuoi server DNS di fronte al pubblico controllino un record (o sottodominio) inserendo NSrecord. A condizione che il firewall consenta la comunicazione dai controller di dominio al server DNS rivolto verso l'esterno, ciò allevia un po 'l'incubo e i record pubblici possono essere gestiti sul server pubblico.

— Andrew B,

@AndrewB Storia vera, ITcluelessinc ha esternalizzato il proprio DNS a un fornitore esterno, ma non sa quale, e non riesce a capirlo, quindi NS non ha trucchi per i nameserver esterni. Ma lo terrò a mente per $ next_job, grazie.

— HopelessN00b,

Se i client stanno risolvendo correttamente il nome host, hai un altro problema. Il DNS non è più visibile una volta che il nome host è stato risolto dal client.

Alcune cose a cui pensare:

I client utilizzano qualsiasi tipo di proxy HTTP per accedere a Internet? Il proxy ha le informazioni DNS corrette disponibili?
Com'è la cache DNS sul client dopo un tentativo di accesso fallito? Vedi l'indirizzo IP giusto memorizzato nella cache per il nome host?
Cosa sta realmente accadendo sul client? Stai vedendo una connessione bloccata nello stato SYN_SENT all'indirizzo IP del server corretto, porta TCP 80?
Esistono regole firewall che potrebbero riguardare il blocco dell'accesso all'indirizzo del sito Web?

Questo puzza di un problema firewall / proxy / cache / filtro, non un problema DNS.

Sfortunatamente, non c'è nulla di veramente convincente che posso dire sull'eliminazione del dominio di Active Directory chiamato male. È un peccato che abbiano scelto di percorrere quella strada, ma tecnicamente può funzionare. (Odio anche questo tipo di cattiva pratica di denominazione ... "vile", credo, è come mi sono riferito ad esso in passato ... Vorrei avere qualche buon consiglio per inoltrarti un argomento di ridenominazione del dominio ...)

— Evan Anderson
fonte

If the clients are resolving the hostname properly then you've got another problem. Dannazione. In tal caso, è probabilmente il nostro webproxy asstastico. Sono stato molto più felice quando ho pensato che potrebbe non essere tecnicamente risolvibile, e avrebbero dovuto finalmente risolvere il loro pasticcio $ # @ ^% ing. :(

— HopelessN00b

Provare con un server o un computer interno che ignora qualsiasi proxy Web, ecc. E riprovare. Come hanno detto Evan e Shane, è sicuramente fattibile con un disco www. Ciò che non è fattibile è solo un record predefinito come itcluessinc.com che si risolve nel sito Web in questa istanza.

— TheCleaner,

Sì, quindi indovina cosa succede quando l'IT non gestisce i siti Web e il dipartimento che decide di cambiare le società di hosting? Esatto, il vecchio wwwdisco A non funziona, l'amministratore di sistema si incazza e aggrava la sua cirrosi.

— HopelessN00b,