Windows anexando sufixo de domínio a todas as pesquisas

23

Eu tenho um problema de DNS recorrente que tem atormentado nossos usuários, ocasionalmente, fazendo com que seus laptops anexem o domínio de nossas empresas ao final de todas as consultas de DNS. O problema ocorre apenas quando os usuários estão fora do local e parece ser bastante aleatório. Funcionará um dia e, depois do nada, mostrará a entrada inválida. Isso afeta principalmente os usuários do Windows XP, mas também foi visto recentemente no Vista. Aqui está um exemplo usando o nslookup.

C:\Users\Username>nslookup www.yahoo.com 
Server: Linksys
Address: 192.168.0.1

Non-authoritative answer:
Name: www.yahoo.com.EXAMPLE.COM
Address: 192.0.2.99

Substituí o endereço IP relatado por um espaço reservado, mas posso dizer que o que ele retorna é a *.entrada padrão em nossa configuração de soluções de rede. Como obviamente www.yahoo.com.EXAMPLE.COMnão existe, isso faz sentido. Acredito que o equipamento interno do usuário esteja funcionando corretamente. Internamente, executamos um Active Directory do Windows 2k3 com servidores DHCP e DNS baseados no Windows. Eventualmente, o problema se resolve normalmente em algumas horas ou em várias reinicializações.

Alguém já viu esse comportamento antes?

windows networking domain-name-system active-directory Xap
fonte
Aggghhhh, isso me deixou louco por tanto tempo - eu não percebi que as soluções de rede tinham uma entrada curinga, depois de removê-la (configurá-la em branco) e esperar algumas horas, finalmente consegui configurar um subdomínio AD adequado do nosso domínio externo e veja a resposta NXDOMAIN adequada do mundo externo.
Kamilion

Respostas:

26

Se você iniciar o nslookup e ativar a depuração, verá que o Windows sempre tenta acrescentar seu sufixo primeiro.

C:\>nslookup
Default Server:  itads.example.com
Address:  0.0.0.0

> set debug=true
> www.yahoo.com
Server:  itads.example.com
Address:  0.0.0.0

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NXDOMAIN
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        www.yahoo.com.example.com, type = A, class = IN
    AUTHORITY RECORDS:
    ->  example.com
        ttl = 3600 (1 hour)
        primary name server = itads.example.com
        responsible mail addr = itads.example.com
        serial  = 12532170
        refresh = 1200 (20 mins)
        retry   = 600 (10 mins)
        expire  = 1209600 (14 days)
        default TTL = 3600 (1 hour)

------------
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 4,  authority records = 0,  additional = 0

    QUESTIONS:
        www.yahoo.com, type = A, class = IN
    ANSWERS:
    ->  www.yahoo.com
        canonical name = www.wa1.b.yahoo.com
        ttl = 241 (4 mins 1 sec)
    ->  www.wa1.b.yahoo.com
        canonical name = www-real.wa1.b.yahoo.com
        ttl = 30 (30 secs)
    ->  www-real.wa1.b.yahoo.com
        internet address = 209.131.36.158
        ttl = 30 (30 secs)
    ->  www-real.wa1.b.yahoo.com
        internet address = 209.191.93.52
        ttl = 30 (30 secs)

------------
Non-authoritative answer:
Name:    www-real.wa1.b.yahoo.com
Addresses:  209.131.36.158, 209.191.93.52
Aliases:  www.yahoo.com, www.wa1.b.yahoo.com

Como você pode ver acima, minha máquina tentou procurar www.yahoo.com.example.com primeiro e o servidor DNS respondeu NXDOMAIN(entrada não encontrada). Você pode confirmar isso executando nslookup www.yahoo.com.(observe o ponto no final de .com!) E verá que ele é resolvido normalmente.

O que está acontecendo é que seu servidor DNS externo está respondendo que eles têm uma entrada para "www.yahoo.com.example.com" e está retornando seu endereço IP para a raiz do seu site. Não sei ao certo qual serviço você usa, mas acho que você tem um mapeamento curinga que informa ao servidor para responder a qualquer consulta desconhecida com uma resposta válida, em vez de retornar NXDOMAIN. Você precisará verificar novamente as suas definições para o servidor e confirmar que ela só é definida para responder a consultas para as entradas na verdade tem ( example.com, www.example.com, mail.example.com, etc.).

Lembre-se de que o DNS funciona verificando o servidor configurado e subindo a partir daí. A consulta DNS pode seguir um caminho como o seguinte padrão (é claro que este é apenas um exemplo, provavelmente está errado): Máquina -> DNS do roteador local (linksys) -> DNS do ISP -> (segundo DNS do ISP) -> raiz DNS do servidor -> DNS do TLD -> Seu servidor DNS externo. Alguém nesse caminho está dizendo que www.yahoo.com.example.comexiste. Provavelmente, é o seu servidor DNS externo.

EDITAR

Imaginei que incluiria mais um boato sobre a aleatoriedade que você mencionou. Se isso realmente estiver acontecendo esporadicamente, você pode ter um servidor DNS externo configurado incorretamente ou o provedor de serviços de Internet pode estar fornecendo um serviço de seqüestro de DNS. Infelizmente, tenho visto mais e mais ISPs residenciais fornecerem um "serviço de pesquisa" para nomes de domínio inválidos. Como quase todos os usuários finais usam seus servidores DNS do ISP, os ISPs estão começando a redirecionar entradas de domínio inválidas para uma página de pesquisa - uma geralmente carregada de anúncios, links irrelevantes e um pequeno "Você quis dizer www.example.com?" com alguns resultados que podem ou não estar relacionados ao nome de domínio. Sei que a Verizon e a Comcast estão começando a fazer isso, acredito que a Quest também está começando. Outra possibilidade é o OpenDNS, pois eles fornecem a mesma "pesquisa por um domínio relacionado" se isso não acontecer.

Meu problema em sugerir que, como o problema, porém, é o fato de você dizer que está retornando o endereço do seu registro raiz, o que nenhum deles faria se eles estivessem tentando procurá-lo, eles forneceriam um IP de um de seus servidores da web para lidar com a pesquisa.

Joshua
fonte
1
Bom resumo - esse é um problema comum com muitos ISPs residenciais.
Doug Luxem
1
Joshua, parece perfeitamente razoável. Eu removi a entrada curinga da configuração de suas soluções de rede. Como você apontou, não serviu para nada, além de direcionar URLs da Web inválidos para o nosso site principal. Vou deixar que ele se propague durante o almoço e tente novamente e deixe todos saberem como funciona.
Xap
Sua dica sobre o ISP e o DNS me ajudou a localizar o meu problema. Troquei o * por www. para que meus domínios não falhem como www.mydomain.tld e não apareçam mais como www.yahoo.com.mydomain.tld. No Passe o mouse, ele é listado no DNS como valor padrão.
Stevoni
3

Depois de bêbado totalizando minhas configurações de registro do Windows 7 tcpip, tive o mesmo problema. Em:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters

verifique se a sua entrada para o domínio é igual à entrada para dhcpdomain, e pronto.

trashyregistry
fonte
5
Pelo menos você é honesto.
Tom O'Connor
1

Eu lutei pelo mesmo problema, que o meu windows está anexando o sufixo do domínio principal ao usar o nslookup. A solução que encontrei foi que anexar o ponto para a solicitação impede que o Windows faça isso. Então, ao invés de usar:

nslookup yahoo.com 192.168.0.1

usar

nslookup yahoo.com. 192.168.0.1.

Segundo a fonte, outros pedidos não devem mostrar esse comportamento.

Fonte (terceira publicação) aqui https://social.technet.microsoft.com/Forums/windows/en-US/a34896f6-d784-4e52-8252-54f6520bc495/dns-queries-all-have-my-internal-domain- nome-aplicado-a-consultas-eg-googlecommydomaincom? forum = winserverNIS

Martin
fonte
0

Problema na maioria das vezes relacionado à configuração nos roteadores residenciais. Na configuração geral desses roteadores, você encontrará dois campos, nome do sistema e nome do domínio.

Exemplo, se o seu nome de domínio do provedor de serviços de Internet for x.com e você colocar o nome de domínio nesse campo como y.com. O roteador ainda fornecerá o DNS configurado na interface WAN e LAN como DNS autoritativo, mas não autoritativo será fornecido neste y.com.

Nyangu Meghji
fonte
0

Eu encontrei a resposta. Na configuração do Registro HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Tcpip \ Parameters, procure a lista de pesquisa. Clique duas vezes nele e exclua o que está na caixa. Mina fixa. Agora nslookup está correto. Eu tinha algo de um empregador que estava usando meu PC pessoal para trabalho remoto. Nunca mais vou trabalhar para essa empresa. Ainda estou encontrando entradas não autorizadas.

Mike
fonte
0

Eu tive o mesmo problema.

Estava sendo fornecido pelo servidor DHCP

A exclusão do valor do registro do domínio resolve o problema HKLM \ SYSTEM \ CurrentControlSet001 \ Services \ Tcpip \ Parameters

Andre Thibodeau
fonte
0

Para mim, usando o bind9 como servidor de nomes local autoritativo e servidor de nomes autoritativo para o mesmo domínio, posso corrigir esse comportamento removendo o *.example.comregistro (comentado abaixo).

Do arquivo de zona /etc/bind/example.com

; *. example.com. EM CNAME example.com. ; GLOBALOK

Isso foi definido por conveniência, não sendo necessário definir manualmente todos os subdomínios encaminhados pela porta para o mesmo IP público.

O efeito colateral é como o pai descreve. Todas as consultas são resolvidas para o mesmo endereço IP público. Os programas e serviços funcionam bem, no entanto, o nslookup nunca retorna endereços IP, o que é um pequeno incômodo que eu aguentei durante meio ano antes de descobrir esta página e me levar à correção acima.

Zoobra McFly
fonte
Os curingas do DNS e as listas de sufixos são duas coisas diferentes ...
Patrick Mevzek