DNS e ingressando no domínio

O que você fez foi criar um espaço para nome DNS de cérebro dividido. Isso é ruim.

Primeiramente, vamos estabelecer algumas coisas.

1. Você deve ter mais de um controlador de domínio.

2. Você deve executar o DNS em pelo menos dois dos seus controladores de domínio.

3. Os clientes do Active Directory (seus PCs internos que ingressam no domínio) devem ser somente apontando para os DCs de seu DNS.

Por que isso está acontecendo?

Ok, agora que isso está fora do caminho, vamos falar sobre por que você está experimentando o que você é. Você parece ter um Active Directory interno chamado sightly.com . Parece que esta também é sua presença na web registrada publicamente. Os controladores de domínio têm registros SOA e NS para a zona DNS que eles contêm. Eles são autoritativos para esta zona. Isso significa que qualquer cliente interno que os use para DNS presumirá que seus DCs tenham todos os hosts na sightly.com zone. Se você tiver um site público chamado sightly.com hospedado externamente, perceberá que seus clientes internos não poderão chegar lá, a menos que você tenha um subdomínio como www. configurado para ele. Isso ocorre porque seus controladores de domínio se registram como sightly.com com os registros same as parent A no DNS.

Assim, você pode ver que há um problema aqui, já que agora você tem dois conjuntos de servidores DNS que pensam ser autorizados para a mesma sightly.com zone. Você nunca conseguirá obter um sightly.com externo sem incluir algo como www. , a menos que você execute um serviço da Web em cada DC para redirecionar o tráfego externamente (na verdade, não faça isso, é ruim). Você pode obter subdomínios de sightly.com apenas se duplicar os registros DNS externos na cópia do sightly.com da sua Controladora de domínio.

Como você pode corrigir isso?

1. Altere o nome de domínio do Active Directory para um subdomínio não usado de sightly.com . Algo como internal.sightly.com ou ad.sightly.com . Se você tiver muitas máquinas conectadas e configuradas pelo GPO, talvez essa não seja a melhor opção. Mas, ao que parece, esse não é o caso. Sério, se for possível, comece novamente e nomeie seu AD corretamente. Eu escrevi uma postagem no blog e a Q & A sobre como nomear o Active Directory. Eu recomendo strongmente que você as leia antes de fazer qualquer outra coisa.

2. Se você não puder ou não quiser renomear seu domínio existente (ainda acho que deveria), será necessário fazer uma entrada DNS duplicada na zona DNS interna para cada recurso externo em sightly.com . Portanto, em algum lugar na nuvem, você provavelmente tem um host DNS que controla os registros DNS de sam.sightly.com e todos os outros recursos externos. Agora você precisa manter registros duplicados no seu controlador de domínio para todos eles.

TL; DR
Mantenha registros duplicados em seu DNS interno ou renomeie seu domínio do AD. Se eu fosse você, mudaria o nome se possível.

Naturalmente. Porque o seu servidor DNS interno é autoritativo para o namespace DNS do sightly.com. Quando os clientes que usam o servidor DNS interno solicitam sam.sightly.com, o servidor DNS não consegue encontrar um registro DNS para esse nome em sua zona DNS do sightly.com. O que você precisa fazer é adicionar um registro DNS na zona DNS interna do sightly.com para sam (sam.sightly.com) apontando para o endereço IP externo do servidor web sam.sightly.com.