Floresta do Active Directory com o mesmo nome da zona DNS raiz e navegando até o site com o mesmo nome

11

Relacionado a essa pergunta anterior sobre por que é uma má idéia usar o nome de domínio raiz como o nome da floresta do Active Directory ...

Eu tenho um empregador, a quem chamarei de ITcluelessinc, para fins de simplicidade (e honestidade). Esse empregador possui um site hospedado externamente, www.ITcluelessinc.com , e alguns domínios do Active Directory. Por não terem noção da TI, há muitos anos, eles se estabeleceram em uma floresta do Active Directory chamada ITcluelessinc.prve realizaram atrocidades indescritíveis contra ela. Essas atrocidades indescritíveis acabaram por alcançá-los e, com tudo desmoronando à sua volta, eles decidiram pagar a alguém uma enorme quantia em dinheiro para "consertá-lo", que incluía migrar para fora da ITcluelessinc.prvfloresta horrivelmente destruída .

E, é claro, por não terem noção da TI, eles não conheciam bons conselhos quando os ouviram, aceitaram a recomendação de nomear sua nova floresta do AD ITcluelessinc.com, em vez dos bons conselhos que também receberam, e começaram a colocar coisas nela. Avanço rápido de algumas horas atrás, e temos uma empresa com a maioria das coisas associadas e usando a ITcluelessinc.prvfloresta antiga do Active Directory, com uma quantidade razoável de coisas mais recentes associadas e / ou usando a ITcluelessinc.comfloresta. Para fazer isso funcionar de maneira relativamente uniforme, usei encaminhadores condicionais no DNS para enviar o ITcluelessinc.comtráfego ITcluelessinc.prve vice-versa.

insira a descrição da imagem aqui

(Os domínios corp.ITcluelessinc.come eval.ITcluelessinc.comsão domínios nomeados corretamente, entrei e configurei mais tarde, e ainda não são relevantes.)

Há algumas horas, e uma funcionária não técnica da ITcluelessinc notou que ela não pode navegar até www.ITcluelessinc.com em sua estação de trabalho (dentro da rede corporativa da ITcluelessinc) e decidiu que isso era um problema. Funcionário VIP da ITcluelessinc, que decide isso deve ser resolvido na maioria das vezes por Ricky-tick. Normalmente, não é grande coisa, adicione um registro A wwwna zona DNS de ITcluelessinc.come você poderá navegar no site, desde que não tente o link direto.

insira a descrição da imagem aqui

Então, parece que está tudo configurado corretamente. Os encaminhadores, a wwwentrada do host no DNS e, no entanto, os clientes que usam o ITcluelessinc.prvcontrolador de domínio como servidores DNS obtêm um tempo limite de conexão ao tentar navegar até www.ITcluelessinc.com , em vez da página da Web que recebo da minha rede doméstica.

Alguém tem alguma idéia de como posso permitir que clientes internos do ITcluelessinc.prvdomínio navegem em www.ITcluelessinc.com , dada a presença da ITcluelessinc.comfloresta do Active Directory e os encaminhadores condicionais de que precisa? Ou, como alternativa, alguém [mais] está convencido de que a única maneira de fazê-lo funcionar é se livrar da ITcluelessinc.comfloresta do Active Directory?

Ele faz parecer como a configuração que eu tenho agora deve trabalhar, mas não é de forma clara, e não tenho idéia de onde eu adquirir um ambiente de teste esta desarrumada para experimentar. E pelo que vale a pena, sugeri de certa forma educadamente que a única maneira de corrigir isso é migrar para as florestas nomeadas corretamente que configurei e, quando essa não for uma resposta suficientemente boa, planeje hospedar um espelho do site em todos nossos ITcluelessinc.comcontroladores de domínio até que isso quebre tudo .

domain-name-system active-directory HopelessN00b
fonte
1
Isso deve funcionar - reflete a configuração que eu tinha em um trabalho antigo (um domínio tão ruim para usar na sua floresta, você tem a minha simpatia), menos os dois espaços para nome e encaminhadores. Os sistemas clientes estão recebendo uma resposta DNS do NXDomain tentando resolver o wwwnome ou estão recebendo um endereço incorreto? Ou, alternativamente, eles estão obtendo o endereço certo, mas não conseguem se conectar a esse endereço (o site está hospedado em servidores dentro da rede, causando um problema de NAT em hairpin)?
Shane Madden
1
@ShaneMadden: Meus pensamentos exatamente e discutidos em uma conversa privada. Deve funcionar, mas não funciona, e eu não tenho noção do por que não. A única outra coisa que eu sugeriria neste momento seria iniciar uma captura de pacote em um cliente .prv e ver o que está acontecendo quando eles tentam procurar por www.
joeqwerty
@ShaneMadden Eles parecem obter o endereço certo com um nslookup, e não deve haver nenhum NAT hairpin envolvido, pois o site é hospedado externamente. (Cliente -> .prv DC -> .com DC -> firewall -> interwebs). Eu já vi esse trabalho antes, quando as máquinas no domínio rootdnsname estavam tentando acessar o rootdnsname, mas ainda não viram clientes ingressados ​​em um domínio diferente que precisa acessar o site rootdnsname e rootdnsname. ... Então é isso que eu acho que o problema deve ser.
HopelessN00b
1
Eu concordo com Evan. No meio do caminho, e tendo trabalhado para outra empresa que se envolveu em disparidades de cérebros divididos, um truque que vale a pena mencionar é que você pode fazer com que seus servidores DNS voltados ao público controlem um registro (ou subdomínio) inserindo NSregistros. Desde que o firewall permita a comunicação dos controladores de domínio para o servidor DNS externo, isso diminui um pouco o pesadelo e os registros públicos podem ser gerenciados no servidor público.
Andrew B
@AndrewB História verdadeira, o ITcluelessinc terceirizou seu DNS para um fornecedor externo, mas não sabe qual deles, e não consegue descobrir, portanto, não há truques de NS nos servidores de nomes externos. Mas vou manter isso em mente por $ next_job, obrigado.
HopelessN00b

Respostas:

8

Se os clientes estiverem resolvendo o nome do host corretamente, você terá outro problema. O DNS está fora de cena quando o nome do host é resolvido pelo cliente.

Algumas coisas para pensar:

  • Os clientes estão usando algum tipo de proxy HTTP para acessar a Internet? O proxy tem as informações DNS corretas disponíveis?

  • Como é o cache do DNS no cliente após uma falha na tentativa de acesso? Você está vendo o endereço IP correto em cache para o nome do host?

  • O que realmente está acontecendo no cliente? Você está vendo uma conexão travada no estado SYN_SENT no endereço IP do servidor correto, porta TCP 80?

  • Existem regras de firewall que possam estar relacionadas ao bloqueio do acesso ao endereço do site?

Parece um problema de firewall / proxy / cache / filtro, não um problema de DNS.

Infelizmente, não há nada realmente convincente que eu possa dizer sobre como se livrar do domínio do Active Directory com o nome incorreto. É lamentável que eles tenham escolhido seguir esse caminho, mas tecnicamente isso pode funcionar. (Também odeio esse tipo de prática de má nomeação ... acredito que "vil" é como me referi a ela no passado ... Gostaria de ter bons conselhos para encaminhar um argumento de renomeação de domínio para você ...)

Evan Anderson
fonte
1
If the clients are resolving the hostname properly then you've got another problem. Droga. Se for esse o caso, provavelmente é o nosso webproxy asstástico. Fiquei muito mais feliz quando pensei que talvez não fosse tecnicamente resolvível e eles teriam que finalmente consertar sua bagunça $ # @ ^% ing. :(
HopelessN00b
2
Teste com um servidor ou computador interno que ignore qualquer proxy da Web etc., e teste novamente. Como Evan e Shane disseram, é definitivamente possível com um disco www. O que não é possível é apenas um registro padrão, como o itcluessinc.com, que está sendo resolvido no site nesta instância.
TheCleaner
Sim, então adivinhe o que acontece quando a TI não gerencia os sites e o departamento que decide mudar as empresas de hospedagem? É isso mesmo, o antigo wwwdisco A não funciona, o administrador do sistema fica irritado e agrava sua cirrose.
HopelessN00b