DNS-näkökohdat Windows-ympäristössä, jossa on identtiset sisäiset ja ulkoiset toimialuenimet

Active Directory (AD) -toimialueen suunnittelun parhaat käytännöt neuvovat olemaan käyttämästä rekisteröityä toimialuenimeä AD-toimialueen nimenä. Toteuttamiskelpoisia vaihtoehtoja ovat muun kuin julkisen DNS-liitteen (esimerkiksi .local tai .lan)käyttäminen AD-toimialuenimessä tai AD-toimialueen tekeminenrekisteröidyn toimialueenalitoimialueiksi ( esimerkiksi corp.domain.com).

Sinulla ei kuitenkaan aina ole vaihtoehtoa tässä asiassa; Saatat löytää itsesi tukemasta AD-verkkotunnusta, jolla on sama nimi kuin yrityksen rekisteröidyllä toimialueella, eikä johto ehkä halua muuttaa kumpaakaan nimeä. Tätä kutsutaan jaetuksi DNS (tai split-brain DNS)-skenaarioksi, jossa on kaksi erillistä DNS-nimitilaa - AD: n käyttämä sisäinen nimitila ja julkisen toimialueen rekisteröijän käyttämä ulkoinen nimitila - samalla nimellä. Tämä skenaario voi aiheuttaa joitakin ainutlaatuisia haasteita. Tässä artikkelissa käsitellään joitakin yleisiä ongelmia, jotka johtuvat jaetusta DNS-ympäristöstä, ja siitä, mitä niiden lieventämiseksi voidaan tehdä.

Kaikissa alla olevissa esimerkeissä AD-toimialue ja rekisteröity toimialue ovat molemmat nimeltään domain.com, ja on olemassa yrityksen verkkosivusto nimeltä www.domain.com.

Numero 1: Ulkoisesti isännöity yrityksen verkkosivusto ei ole käytettävissä toimiston sisältä
Tämä on yleisin ongelma jaetussa DNS-ympäristössä: yrityksen verkkosivustoa tai muuta yrityksen omistamaa, Internetiin kytkettyä resurssia ei saada toimiston sisältä AD-verkkotunnukseen liitetyillä koneilla, mutta toimiston ulkopuolisilla koneilla ei ole ongelmia päästä verkkosivustolle. Syy tähän voidaan näyttää tutkimalla, mitä tapahtuu, kun sisäinen käyttäjä yrittää selata yrityksen verkkosivustoa:

1. Käyttäjän tietokone kysyy toimialueen DNS-palvelimelta, yleensä toimialueen ohjauskoneelta, toimialueen ohjauskoneen IP-osoitetta www.domain.com.
2. Ohjauskone isännöi domain.com -nimistä hakuvyöhykettä,joten se etsii siltä vyöhykkeeltä isäntätietuettanimeltä www .
3. Ohjauskone ei löydä www-nimistä isäntätietuetta,ja koska se on domain.com, se ei tee kyselyjä muille DNS-palvelimille.
4. Ohjauskone vastaa käyttäjän tietokoneeseen sanomalla, että se ei löytänyt osoitetta www.domain.com .
5. Käyttäjän tietokoneen selaimessa näkyy "Sivua ei voi näyttää".

Ongelma johtuu siitä, että DNS-palvelin, jonka tietokannassa on tietty hakuvyöhyke - tämän esimerkin domain.com-vyöhyke - ei lähetä kyselyjä vyöhykkeen tietueista missään muualla. Se palauttaa yksinkertaisesti "ei löydy" -vastauksen, jos kyseistä kyselyä vastaavaa tietuetta ei ole. Tässä esimerkissä on toinen DNS-palvelin, jolla on oikea tietue: DNS-palvelin, joka isännöi domain.com-vyöhykettä, joka kuuluu toimialueen rekisteröijälle, kuten käy ilmi siitä, että toimiston ulkopuoliset koneet pääsevät verkkosivustoon. Sisäisten koneiden kyselyt eivät kuitenkaan koskaan saavuta kyseistä palvelinta.

Ratkaisu tähän ongelmaan on yksinkertainen: luo isäntätietue nimeltä www domain.com-vyöhykkeellä ohjauskoneella ja anna tietueen IP-osoite. Koneet, jotka kyselevät kyseistä DNS-palvelinta, saavat oikean vastauksen ja voivat selata sivustoa.

Numero 2: Sisäisesti isännöity julkinen verkkosivusto, jota ei voi käyttää toimiston sisältä
Tätä voidaan pitää edellä olevan numeron 1 muunnelmana. Erona tässä tapauksessa on, että verkkosivustoa isännöidään sisäisesti joko yrityksen sisäisen verkon palomuurin takana tai DMZ: ssä. Sen on tarkoitus olla sekä sisäisten että ulkoisten käyttäjien käytettävissä, mutta sisäiset käyttäjät eivät tavoita sitä, kun taas ulkoiset käyttäjät eivät ilmoita ongelmista.

Ongelman syy on samanlainen kuin numerossa 1, mutta sisäiset käyttäjät voivat tässä tapauksessa ratkaista verkkosivuston nimen oikein julkiseen IP-osoitteeseensa. He eivät kuitenkaan vieläkään pääse verkkosivustoon palomuurin määritystavan vuoksi. Se odottaa sisäisen verkon käyttäjien käyttävän verkkosivustoa käyttämällä sen yksityistä osoitetta eikä julkista osoitetta.

Jälleen on olemassa yksinkertainen korjaus: luo isäntätietue nimeltä www dc: n domain.com-vyöhykkeellä, mutta anna tällä kertaa tietueen verkkosivuston yksityinen IP-osoite. Sisäiset koneet ratkaisevat sivuston nimen yksityiseen osoitteeseen, kun taas ulkoiset koneet jatkavat nimen ratkaisemista verkkosivuston julkiseen osoitteeseen.

Numero 3: Verkkosivusto latautuu epätäydellisesti tai ei vieläkään lataudu yllä olevien muutosten jälkeen
Näin voi käydä, jos verkkosivuston koodi ohjaa selaimet www.domain.comdomain.com tai jos sisäiset linkit viittaavat sivustoon domain.com eikä www.domain.com. Samat oireet näkyvät sisäisissä koneissa riippumatta siitä, isännöidäänkö sivustoa sisäisesti vai ulkoisesti:

• Sivusto ei välttämättä lataudu lainkaan, jolloin käyttäjän selain domain.com yleensä osoiterivillä, vaikka käyttäjä www.domain.com selaimeen.
• Paikka voi latautua epätäydellisesti; sivuston osat eivät välttämättä näy ja/tai sivuston linkit eivät välttämättä toimi.
• Molemmissa tapauksissa ulkoiset käyttäjät voivat käyttää verkkosivustoa ilman ongelmia.

Tässä tapauksessa kysymys on hieman monimutkaisempi. Jotta koneet voivat domain.com IP-osoitteeseen, DNS:n domain.com on oltava tyhjä isäntätietue. Tämän tietueen nimi näkyy Windowsin DNS-konsolissa nimellä (sama kuin pääkansio). Tässä tapauksessa on kuitenkin ongelma: AD käyttää tyhjiä isäntätietueita domain.com-vyöhykkeellä edustamaan toimialueen domain.com. Toimialueen jäsenet käyttävät näitä tietueita etsiessään ohjauskonetta todennusta varten, ja jos domain.com-vyöhykkeellä on ylimääräisiä tyhjiä isäntätietueita, seurauksena voi olla viiveitä tai todennusongelmia.

Edellä mainitusta syystä tätä ongelmaa ei voida ratkaista pelkästään DNS: ssä. Tyhjän isäntätietueen luominen sivuston IP-osoitteella ratkaisee verkkosivuston käyttöongelman vain ajoittain sisäisille käyttäjille, koska on jo olemassa muita tyhjiä isäntätietueita, joiden toimialueen DCS-osoitteet ovat IP-osoitteita, ja aiheuttaa näin verkkotunnuksen todennusongelmia.

Yksinkertaisin tapa ratkaista tämä ongelma on muokata verkkosivuston koodia joko poistamaan uudelleenohjaus tai korjaamaan sisäiset linkit niin, että kaikki viittaa sivustoon www.domain.com eikä domain.com. Jos koodin muokkaaminen ei ole mahdollista, ainoa vaihtoehto ongelman ratkaisemiseksi on nimetä AD-toimialue uudelleen. Tämä voi olla monimutkainen tehtävä ympäristön koosta ja monimutkaisuudesta riippuen.