PowerEdge: Sitio web inaccesible en un entorno Windows con nombres de dominio internos y externos idénticos

En todos los ejemplos que aparecen a continuación, tanto el dominio de AD como el dominio registrado se denominan domain.com y hay un sitio web de la empresa denominado www.domain.com. Los nombres de dominio idénticos crean un entorno DNS dividido (o de cerebro dividido). En esta situación, los espacios de nombres DNS internos y externos tienen el mismo nombre, pero son independientes.

Problema 1: Desde la oficina, no se puede acceder a un sitio web de la empresa alojado externamente.
Este es el problema más común en un entorno de DNS dividido. Desde la oficina, los clientes unidos a un dominio no pueden acceder al sitio web de la empresa o a otro recurso conectado a Internet propiedad de la empresa. Las máquinas fuera de la oficina no tienen problemas para acceder al sitio web.

Problema 2: Desde la oficina, no se puede acceder a un sitio web público alojado internamente.
Este inconveniente es una variación del problema 1 anterior. La diferencia radica en que el sitio web está alojado internamente, ya sea detrás de un firewall en la red interna de la empresa o en una DMZ. Se supone que debe ser accesible tanto para usuarios internos como externos, pero los usuarios internos no pueden acceder. Los usuarios externos no informan problemas.

Problema 3: El sitio web se carga de forma incompleta o no se carga después de que se solucionan los problemas 1 o 2.
Es posible que el sitio no se cargue en absoluto o que se cargue de forma incompleta para los usuarios internos. Es posible que algunas partes del sitio no se muestren y que los enlaces dentro del sitio no funcionen. Los usuarios externos pueden acceder al sitio web sin problemas.

Problema 1: Desde la oficina, no se puede acceder a un sitio web de la empresa alojado externamente.

La razón por la que esto sucede se puede demostrar examinando lo que sucede cuando un usuario interno intenta navegar por el sitio web de la empresa:

1. La computadora del usuario consulta al servidor DNS del dominio, normalmente una controladora de dominio (DC), para obtener la dirección IP de www.domain.com.
2. La DC aloja una zona de búsqueda directa denominada domain.com, por lo que busca en esa zona un registro de host denominado www.
3. La DC no encuentra ningún registro de host denominado www, y dado que es autoritativo para la domain.com zona, no reenvía la consulta.
4. La DC responde a la computadora del usuario e indica que no pudo encontrar una dirección para www.domain.com.
5. El navegador en la computadora del usuario muestra "Esta página no se puede mostrar" o un error similar.

El problema surge porque un servidor DNS autoritativo no envía consultas de nombres en sus zonas a otros servidores DNS. Devuelve una respuesta de "no encontrado" si no hay ningún registro que coincida con una consulta determinada. En este ejemplo, hay otros servidores DNS con el registro correcto: los servidores DNS que alojan la zona domain.com pública. Esto es evidente por el hecho de que las máquinas fuera de la oficina pueden acceder al sitio web. Sin embargo, las consultas de las máquinas internas no se envían a ese servidor.

Problema 2: Desde la oficina, no se puede acceder a un sitio web público alojado internamente.
El motivo del problema es similar al del problema 1. En este caso, los usuarios internos pueden resolver correctamente el nombre del sitio web a su dirección IP pública. Sin embargo, aún no pueden acceder al sitio web debido a la configuración del firewall. Espera que los usuarios de la red interna accedan al sitio web utilizando una dirección privada en lugar de una dirección pública.

Problema 3: El sitio web se carga de forma incompleta o no se carga después de que se solucionan los problemas 1 o 2.
Esto puede suceder si el código del sitio web redirige a los navegadores de www.domain.com como domain.com. Los enlaces internos también pueden referirse al sitio como domain.com en lugar de www.domain.com. Los mismos síntomas se observan en máquinas internas, ya sea que el sitio esté alojado interna o externamente.

En este caso, el problema es un poco más complejo. Para que las máquinas resuelvan domain.com a una dirección IP, debe haber un registro de host en blanco en la domain.com zona en DNS. El nombre de este registro aparece como (igual que la carpeta principal) en la consola DNS de Windows. Sin embargo, AD utiliza los registros de host en blanco en la domain.com zona para representar a las DC del domain.com dominio. Si hay registros de host en blanco adicionales en la domain.com zona, es posible que se produzcan problemas de retrasos o de autenticación.

Por los motivos anteriores, este problema no se puede resolver solo con DNS. La creación de un registro de host en blanco con la dirección IP del sitio web resuelve solo de forma intermitente el problema de acceso al sitio web para los usuarios internos. Los registros de host en blanco existentes que hacen referencia a DC interfieren en esto, debido a la funcionalidad de DNS de round robin. Dado que las DC registran automáticamente esos registros, si se eliminan de la zona DNS, vuelven a aparecer con regularidad.
 

Problema 1: Desde la oficina, no se puede acceder a un sitio web de la empresa alojado externamente.
La solución a este problema es simple. Cree un registro de host (A) denominado www en la zona domain.com en la DC y proporcione a ese registro la dirección IP del sitio web. Las máquinas que consultan ese servidor DNS reciben la respuesta correcta y pueden navegar por el sitio web.

Problema 2: Desde la oficina, no se puede acceder a un sitio web público alojado internamente.
También hay una solución simple para este problema. Cree un registro de host denominado www en la zona domain.com de la DC, pero proporcione al registro la dirección IP privada del sitio web. Las máquinas internas resuelven el nombre del sitio web a esa dirección privada, mientras que las máquinas externas continúan resolviendo el nombre a la dirección IP pública del sitio web.

Problema 3: El sitio web se carga de forma incompleta o no se carga después de que se solucionan los problemas 1 o 2.
La forma más sencilla de resolver este problema es modificar el código del sitio web para eliminar el redireccionamiento. Además, los enlaces internos deben referirse al sitio como www.domain.com en lugar de domain.com. Si no es posible modificar el código, la única otra opción para resolver el problema es cambiar el nombre del dominio de AD. Esta puede ser una tarea compleja, según el tamaño y la complejidad del entorno.

Nota: Se debe acceder al sitio web utilizando el nombre www.domain.com en todos estos ejemplos. Acceder al sitio con el nombre domain.com no funciona o solo funciona de manera intermitente.

Las prácticas recomendadas para el diseño de dominios de Active Directory (AD) desaconsejan el uso de un nombre de dominio registrado como nombre de dominio de AD. Para esto, se sugieren dos alternativas:

• Utilice un sufijo DNS no público (.local o .lan, por ejemplo) en el nombre de dominio de AD.
• Transforme el dominio de AD en un subdominio del dominio registrado (corp.domain.com, por ejemplo).

Esto solo es posible si el dominio de AD aún no se ha creado o si una operación de cambio de nombre está en curso.