Floresta do Active Directory com o mesmo nome da zona DNS raiz e navegação no site com o mesmo nome

10

Relacionado a essa pergunta anterior sobre por que é uma má idéia usar o nome do domínio raiz como seu Active Directory nome da floresta ...

Eu tenho um empregador, a quem vou me referir como ITcluelessinc, para propósitos de simplicidade (e honestidade). Esse empregador tem um site hospedado externamente, www.ITcluelessinc.com e alguns domínios do Active Directory. Sendo ignorante sobre TI, muitos anos atrás, eles se colocaram em uma floresta do Active Directory chamada ITcluelessinc.prv e executaram atrocidades indescritíveis contra ela. Estas atrocidades indescritíveis acabaram por envolvê-los e, com tudo a desmoronar à sua volta, decidiram pagar a alguém uma enorme quantia de dinheiro para "consertar", o que incluía a migração da floresta ITcluelessinc.prv terrivelmente quebrada.

E, claro, sem saber nada sobre TI, eles não conheciam bons conselhos quando ouviram, aceitaram a recomendação de nomear sua nova floresta AD ITcluelessinc.com , em vez dos conselhos sensatos que eles também tinham, e começaram a colocar coisas nele. Avançando para algumas horas atrás, e temos uma empresa com a maioria de seus itens unidos e usando a antiga floresta do ITcluelessinc.prv Active Directory, com uma boa quantidade de material mais recente associado e / ou usando a ITcluelessinc.com forest. Para que isso funcione de forma relativamente uniforme, usei encaminhadores condicionais no DNS para enviar o tráfego ITcluelessinc.com para ITcluelessinc.prv e vice-versa.

(Osdomínioscorp.ITcluelessinc.comeeval.ITcluelessinc.comsãonomeadosapropriadamentecomodomíniosquevierameforamconfiguradosposteriormenteeaindanãosãorelevantes.)

Devoltaaalgumashorasatrás,eumfuncionárionãotécnicodaITcluelessincnotouqueelanãopodenavegarpara www.ITcluelessinc.com www na zona DNS para ITcluelessinc.com e você poderá navegar pelo site, desde que não tente o link nu.

Então,parecequetudoestáconfiguradocorretamente.Remetentes,wwwhostdeentradanoDNSe,noentanto,osclientesqueusamocontroladordedomínioITcluelessinc.prvcomoservidoresDNSobtêmumtempolimitedeconexãoaotentarnavegarpara www .ITcluelessinc.com , em vez da página da web que recebo da minha rede doméstica.

Alguém tem alguma ideia de como posso permitir que clientes internos do domínio ITcluelessinc.prv consultem www.ITcluelessinc.com , dada a presença da floresta do ITcluelessinc.com Active Directory e dos encaminhadores condicionais de que necessita? Ou, alternadamente, alguém está convencido de que a única maneira de fazê-lo funcionar é se livrar da floresta ITcluelessinc.com do Active Directory?

Parece que a configuração que tenho agora deve funcionar, mas claramente não é, e não tenho ideia de onde conseguir um ambiente de teste tão confuso para experimentar. E, pelo que vale a pena, sugeri um pouco educadamente que a única maneira de corrigir isso é migrar para as florestas nomeadas corretamente que eu configurei, e quando isso não for uma resposta boa o suficiente, planeje hospedar um espelho do site em todas as nossos ITcluelessinc.com controladores de domínio até que isso quebre tudo .

    
por HopelessN00b 25.11.2014 / 20:56

1 resposta

7

Se os clientes estiverem resolvendo o nome do host corretamente, você terá outro problema. O DNS está fora da imagem quando o nome do host é resolvido pelo cliente.

Algumas coisas para pensar:

  • Os clientes estão usando algum tipo de proxy HTTP para acessar a Internet? O proxy tem as informações de DNS corretas disponíveis?

  • Qual é a aparência do cache DNS no cliente após uma tentativa de acesso com falha? Você está vendo o endereço IP correto em cache para o nome do host?

  • O que está realmente acontecendo no cliente? Você está vendo uma conexão presa no estado SYN_SENT ao endereço IP do servidor correto, porta TCP 80?

  • Existe alguma regra de firewall relacionada ao bloqueio de acesso ao endereço do site?

Isso cheira a um problema de firewall / proxy / cache / filtro, não a um problema de DNS.

Infelizmente, não há nada realmente convincente que eu possa dizer sobre a eliminação do domínio do Active Directory com nomes incorretos. É uma pena que eles optaram por fazer esse caminho, mas tecnicamente isso pode funcionar. (Eu odeio esse tipo de prática de nomeação ruim, também ... "vil", eu acredito, é como eu me referi a ele no passado ... Gostaria de ter um bom conselho para encaminhar um argumento de renomeação de domínio para você ...)

    
por 25.11.2014 / 21:26