PowerEdge: Nedostupný web v prostředí Windows se stejnými interními a externími názvy domén

Ve všech níže uvedených příkladech jsou doména AD i registrovaná doména pojmenovány jako domain.com a web společnosti nese název www.domain.com. Identické názvy domén vytvářejí rozdělené (split-brain) prostředí DNS. V této situaci mají interní a externí obory názvů DNS stejný název, ale jsou oddělené.

Problém 1: Externě hostovaný firemní web je nepřístupný zevnitř kanceláře.
Jedná se o nejběžnější problém v rozděleném prostředí DNS. Klienti připojení k doméně nemají přístup k webu společnosti ani k jinému zdroji připojenému k internetu přímo v kanceláři. Počítače mimo kancelář nemají s přístupem na web žádné problémy.

Problém 2: Interně hostovaný veřejný web je nepřístupný zevnitř kanceláře.
Jedná se o variantu výše uvedeného problému 1. Rozdíl je v tom, že web je hostován interně, buď za branou firewall v interní síti společnosti, nebo v zóně DMZ. Má být přístupný interním i externím uživatelům, ale interní uživatelé se k němu nedostanou. Externí uživatelé nehlásí žádné problémy.

Problém 3: Webové stránky se načtou částečně nebo se nenačtou vůbec po vyřešení problému 1 nebo 2.
Stránka se interním uživatelům nemusí načíst vůbec nebo se může načítat neúplně. Části webu se nemusí zobrazit a odkazy na webu nemusí fungovat. Externí uživatelé se na web dostanou bez problémů.

Problém 1: Externě hostovaný firemní web je nepřístupný zevnitř kanceláře.

Důvod, proč k tomu dochází, lze ukázat zkoumáním toho, co se stane, když se interní uživatel pokusí procházet web společnosti:

1. Počítač uživatele se dotazuje serveru DNS domény, obvykle řadiče domény (DC), na adresu IP www.domain.com.
2. Řadič domény je hostitelem zóny dopředného vyhledávání s názvem domain.com, takže v této zóně vyhledá záznam hostitele s názvem www.
3. Řadič domény nenajde žádný pojmenovaný záznam hostitele wwwa vzhledem k tomu, že je to směrodatné pro zónu domain.com , dotaz nepředá dál.
4. Řadič domény odpoví počítači uživatele, že nemohl najít adresu pro www.domain.com.
5. V prohlížeči na počítači uživatele se zobrazí zpráva „Stránku nelze zobrazit“ nebo podobná chyba.

Problém vzniká proto, že autoritativní server DNS neodesílá dotazy na názvy ve svých zónách jiným serverům DNS. Pokud danému dotazu neodpovídá žádný záznam, vrátí odpověď „nenalezeno“. V tomto příkladu existují další servery DNS se správným záznamem: servery DNS, které hostují veřejnou domain.com zónu. To je zřejmé ze skutečnosti, že počítače mimo kancelář se mohou na web připojit. Dotazy z interních počítačů se ale na tento server neodesílají.

Problém 2: Interně hostovaný veřejný web je nepřístupný zevnitř kanceláře.
Důvod problému je podobný jako v případě 1. Interní uživatelé v tomto případě mohou správně přeložit název webu na jeho veřejnou IP adresu. Stále se však nemohou dostat na web kvůli způsobu, jakým je nakonfigurována brána firewall. Očekává, že uživatelé v interní síti budou přistupovat na web pomocí soukromé adresy, nikoli veřejné adresy.

Problém 3: Webové stránky se načtou částečně nebo se nenačtou vůbec po vyřešení problému 1 nebo 2.
K tomu může dojít, pokud kód webové stránky přesměruje prohlížeče z www.domain.com na domain.com. Interní odkazy mohou také odkazovat na web jako domain.com spíše než www.domain.com. Stejné příznaky se zobrazují na interních počítačích bez ohledu na to, jestli je web hostovaný interně nebo externě.

Problém je v tomto případě trochu složitější. Aby počítače mohly přeložit domain.com na IP adresu, v zóně domain.com v DNS musí být prázdný záznam o hostiteli. Název tohoto záznamu se zobrazí jako (stejný jako nadřazená složka) v konzoli DNS systému Windows. Služba AD však používá prázdné záznamy hostitele v zóně domain.com , která reprezentuje DC pro doménu domain.com . Pokud najdete další prázdné záznamy hostitele v zóně domain.com , může dojít ke zpožděním nebo problémům s ověřováním.

Z výše uvedených důvodů nelze tento problém vyřešit pouze pomocí služby DNS. Vytvoření prázdného záznamu hostitele s IP adresou webu vyřeší problém s přístupem k webu pro interní uživatele pouze občas. Stávající prázdné záznamy hostitele, které odkazují na řadiče domény, to narušují z důvodu funkce kruhového dotazování DNS. Vzhledem k tomu, že tyto záznamy jsou automaticky registrovány řadiči domény, pokud jsou odebrány ze zóny DNS, budou se pravidelně zobrazovat.
 

Problém 1: Externě hostovaný firemní web je nepřístupný zevnitř kanceláře.
Řešení tohoto problému je jednoduché. Vytvořte záznam hostitele (A) s názvem www v zóně domain.com na řadiči domény a přiřaďte tomuto záznamu IP adresu webu. Počítače, které se dotazují na tento server DNS, pak obdrží správnou odpověď a mohou procházet web.

Problém 2: Interně hostovaný veřejný web je nepřístupný zevnitř kanceláře.
I na to existuje jednoduché řešení. Vytvořte záznam hostitele s názvem www v zóně domain.com na řadiči domény, ale přidělte záznamu soukromou IP adresu webu. Interní počítače překládají název webu na tuto soukromou adresu, zatímco externí počítače nadále překládají název na veřejnou adresu webu.

Problém 3: Webové stránky se načtou částečně nebo se nenačtou vůbec po vyřešení problému 1 nebo 2.
Nejjednodušší způsob, jak tento problém vyřešit, je upravit kód webu a odstranit přesměrování. Interní odkazy by také měly odkazovat na web jako www.domain.com, nikoli jako domain.com. Pokud úprava kódu není možná, jedinou další možností, jak problém vyřešit, je přejmenování domény AD. To může být složitý úkol v závislosti na velikosti a složitosti prostředí.

Poznámka: Na webovou stránku je nutné přistupovat pomocí názvu www.domain.com ve všech těchto příkladech. Přístup na web pomocí názvu domain.com nefunguje nebo funguje jen občas.

Osvědčené postupy pro návrh domény služby Active Directory (AD) nedoporučují používat registrovaný název domény jako název domény AD. Existují dvě navrhované alternativy:

• Použijte neveřejnou příponu DNS (například.local nebo .lan) v názvu domény AD.
• Nastavte doménu AD jako poddoménu registrované domény (corp.domain.comnapříklad).

To je možné pouze v případě, že doména AD ještě nebyla vytvořena nebo pokud probíhá operace přejmenování.