Informace o službě DNS v prostředí systému Windows se stejnými interními a vnějšími názvy domén

Doporučené postupy pro navrhování domén v rámci služby Active Directory (AD) v případě použití registrovaného názvu domény jako názvu domény služby AD. Životaschopné alternativy zahrnují použití neveřejné přípony DNS (. Local nebo . LAN) v názvu domény služby Active Directory nebo vytvoření domény Active Domain jako subdomény registrované domény (napříkladCorp.domain.com).

V takovém případě už nebudete mít k dispozici žádnou možnost. může se stát, že budete moci podporovat doménu služby AD, která má stejný název jako registrovaná doména společnosti, a Správa nemusí měnit žádné jméno. To je označováno jako rozdělený scénář služby DNS (nebo rozdělený mozek), ve kterém existují dva odlišné obory názvů DNS – interní JMENNÝ prostor používaný společností AD a externí jmenný prostor používaný registrátorem veřejných domén, se stejným názvem. Tento scénář může vést k nějakým jedinečným výzvám. V tomto článku jsou popsány některé běžné problémy vyplývající z prostředí Split DNS a to, které je možné provést jejich zmírnění.

Ve všech níže uvedených příkladech je doména a registrovaná doména služby Active Directory pojmenována Domain.coma je zde některá webová stránka společnosti s názvem www.domain.com.

Problém 1: Externí webová stránka hostované společnosti je v rámci kanceláře
nedostupná. Toto je nejběžnější problém v rozděleném prostředí DNS: webové stránky společnosti nebo jiný zdroj ve vlastnictví společnosti Internet, který je připojen k Internetu, nelze kontaktovat v rámci počítačů připojených do domény Active Directory, ale počítače mimo kancelář nemají na tuto webovou stránku žádné problémy. Důvod se může zobrazit tak, že prozkoumáte, co se stane, když se interní uživatel pokusí procházet webové stránky společnosti:

1. Počítač uživatele zadá dotaz na server DNS domény, zpravidla na řadič domény (DC), na adresu IP www.domain.com.
2. Řadič stejnosměrného proudu je hostitelem zóny dopředného vyhledávání s názvem Domain.com, takže hledá v této zóně záznam hostitele s názvem www.
3. Řadič stejnosměrného proudu nezjistí žádný záznam hostitele s názvem www, protože je pro zónu Domain.com autoritativní, nedotazuje se na žádné jiné servery DNS.
4. Řadič stejnosměrného proudu odpoví na počítač uživatele tím, že nenalezl adresu pro www.domain.com.
5. Prohlížeč v počítači uživatele zobrazuje "stránku nelze zobrazit".

K tomuto problému dojde, protože server DNS, který má konkrétní zónu vyhledávání ve své databázi, zóna Domain.com v tomto příkladu neposílá dotazy na záznamy v dané zóně kdekoliv jinde; jednoduše vrátí odezvu "Nenalezeno", pokud se na daný dotaz neshoduje žádný záznam. V tomto příkladu je k dispozici jiný server DNS se správným záznamem: Server DNS, který hostuje veřejnou zónu Domain.com náležející do registrátora domén, je samozřejmý skutečností, že počítače mimo kancelář mohou dorazit na webové stránky. Dotazy z interních strojů nikdy nedorazily na tento server.

Řešení tohoto problému je jednoduché: vytvoření hostitelského záznamu s názvem www v zóně Domain.com na řadiči stejnosměrného napájení a poskytnutí záznamu adresy IP webového serveru. Počítače s dotazem, že server DNS obdrží správnou odezvu a umožní vám procházet webové stránky.

Problém 2: Interně hostovaný veřejný webový server nedostupný zevnitř kanceláře
To může být považováno za odchylku problému 1 výše. Rozdíl v tomto případě je, že je webová stránka hostována interně, a to buď za bránou firewall v interní síti společnosti, nebo v DMZ. Mělo by být přístupné interním i externím uživatelům, ale interní uživatelé je nemohou kontaktovat, zatímco externí uživatelé hlásí žádné problémy.

Důvod problému je podobný jako ve problému 1, ale interní uživatelé v tomto případě jsou schopni správně přeložit název webu na jeho veřejnou adresu IP. Ale stále se nedaří kontaktovat na webu kvůli způsobu, jakým je nakonfigurována brána firewall. Očekává, že uživatelé interní sítě mají přístup k webům pomocí její soukromé adresy, nikoli podle její veřejné adresy.

Znovu, je k dispozici jednoduchá Oprava: vytvořit hostitelský záznam s názvem www v zóně Domain.com na řadiči DC, tento čas ale poznamená soukromou adresu IP webu. Interní počítače přeloží název webové stránky na tuto soukromou adresu, zatímco externí počítače tento název i nadále překládá na veřejnou adresu webové stránky.

Problém 3: Webová stránka se načítá neúplným nebo se po provedení výše uvedených změn stále nenačte
. To může nastat, pokud kód webu přesměruje prohlížeče z www.domain.com na Domain.com , nebo pokud interní odkazy odkazují na web jako Domain.com namísto www.domain.com. V interních počítačích jsou uvedeny stejné příznaky, ať už je server hostován interně nebo externě:

• Web nemusí být zcela načten, v takovém případě se v případě, že uživatel zadá www.domain.com do prohlížeče, zobrazí Domain.com v adresním řádku.
• Pracoviště se může načítat v neúplném provedení; Některé části webu nemusí být zobrazeny a/nebo odkazy na pracovišti nemusí fungovat.
• V obou případech mohou externí uživatelé přistupovat k webu bez problémů.

Problémem v tomto případě je trochu složitější. Aby stroje vyřešily Domain.com na adresu IP, musí být v zóně Domain.com v systému DNS prázdný záznam hostitele. Název tohoto záznamu je v konzole DNS systému Windows uveden tak, jak je (totožný s nadřízenou složkou) . V tomto případě se však vyskytl problém: Služba AD používá v zóně Domain.com prázdné záznamy o hostitelích, které představují řadiče domény Domain.com . Členové domény tyto záznamy používají při vyhledávání napájecího portu pro ověření a v případě, že v zóně Domain.com existují dodatečné záznamy o volném hostiteli, mohou vzniknout problémy s prodlevami nebo ověřováním.

Z výše uvedených důvodů nelze tento problém vyřešit samotným DNS. Když vytvoříte prázdný záznam hostitele s IP adresou webu, pouze občasně vyřeší problém s přístupem k webu pro interní uživatele, protože již existují jiné prázdné záznamy hostitelů s adresami pro řadiče DCs v doméně. to způsobuje problémy s ověřením v doméně.

Nejjednodušší postup k vyřešení tohoto problému je úprava kódu webu a odstranění přesměrování nebo odstranění interních odkazů tak, aby vše odkazovalo na web jako www.domain.com namísto Domain.com. V případě, že úpravy kódu nejsou možné, jedinou možností vyřešení problému je přejmenování domény Active Directory. To může být složitá úloha v závislosti na velikosti a složitosti prostředí.