PowerEdge: Sivustoon ei saada yhteyttä Windows-ympäristössä, jossa on identtiset sisäiset ja ulkoiset toimialuenimet

Kaikissa alla olevissa esimerkeissä AD-toimialueen ja rekisteröidyn toimialueen nimi on domain.com, ja yrityksen verkkosivusto on nimetty www.domain.com. Identtiset verkkotunnukset luovat jaetun (tai jaetun aivon) DNS-ympäristön . Tässä tilanteessa sisäisillä ja ulkoisilla DNS-nimitiloilla on sama nimi, mutta ne ovat erillisiä.

Ongelma 1: Ulkoisesti isännöityyn yrityksen verkkosivustoon ei pääse toimiston sisältä.
Tämä on yleisin ongelma jaetussa DNS-ympäristössä. Yrityksen verkkosivustoon tai muuhun yrityksen omistamaan, Internetiin liitettyyn resurssiin eivät pääse toimiston sisältä verkkotunnukseen liittyneet asiakkaat. Toimiston ulkopuolella olevilla koneilla ei ole ongelmia päästä verkkosivustolle.

Aihe 2: Sisäisesti isännöityä julkista verkkosivustoa ei voi käyttää toimiston sisältä.
Tämä on muunnelma edellä olevasta numerosta 1. Erona on, että verkkosivustoa isännöidään sisäisesti joko palomuurin takana yrityksen sisäisessä verkossa tai DMZ: ssä. Sen on tarkoitus olla sekä sisäisten että ulkoisten käyttäjien käytettävissä, mutta sisäiset käyttäjät eivät pääse siihen. Ulkoiset käyttäjät eivät ilmoita ongelmista.

Ongelma 3: Verkkosivusto latautuu epätäydellisesti tai ei lataudu ongelman 1 tai 2 ratkaisemisen jälkeen.
Sivusto ei välttämättä lataudu lainkaan tai se voi latautua epätäydellisesti sisäisille käyttäjille. Osa sivustosta ei välttämättä näy, ja sivuston linkit eivät välttämättä toimi. Ulkoiset käyttäjät voivat käyttää verkkosivustoa ilman ongelmia.

Aihe 1: Ulkoisesti isännöityyn yrityksen verkkosivustoon ei pääse toimiston sisältä.

Syy tähän voidaan osoittaa tutkimalla, mitä tapahtuu, kun sisäinen käyttäjä yrittää selata yrityksen verkkosivustoa:

1. Käyttäjän tietokone kyselee toimialueen DNS-palvelimelta, yleensä toimialueen ohjauskoneelta (DC), IP-osoitetta www.domain.com.
2. DC isännöi eteenpäin suuntautuvaa hakuvyöhykettä nimeltä domain.com, joten se etsii kyseisestä vyöhykkeestä isäntätietuetta nimeltä www.
3. Ohjauskone ei löydä isäntätietuetta nimeltä www, ja koska se on arvovaltainen domain.com vyöhykkeellä, se ei välitä kyselyä.
4. DC vastaa käyttäjän tietokoneelle sanomalla, että se ei löytänyt osoitetta www.domain.com.
5. Käyttäjän tietokoneen selain näyttää "Sivua ei voi näyttää" tai vastaavan virheen.

Ongelma syntyy, koska arvovaltainen DNS-palvelin ei lähetä vyöhykkeidensä nimikyselyjä muille DNS-palvelimille. Se palauttaa "ei löydy" -vastauksen, jos tiettyä kyselyä vastaavaa tietuetta ei ole. Tässä esimerkissä on muita DNS-palvelimia, joilla on oikea tietue: DNS-palvelimet, jotka isännöivät julkista domain.com vyöhyke. Tämä käy ilmi siitä, että toimiston ulkopuolella olevat koneet pääsevät verkkosivustolle. Sisäisten koneiden kyselyjä ei kuitenkaan lähetetä kyseiselle palvelimelle.

Ongelma 2: Sisäisesti isännöityä julkista verkkosivustoa ei voi käyttää toimiston sisältä.
Ongelman syy on samanlainen kuin numerossa 1. Sisäiset käyttäjät voivat tässä tapauksessa ratkaista verkkosivuston nimen oikein sen julkiseen IP-osoitteeseen. He eivät kuitenkaan vieläkään pääse verkkosivustolle palomuurin määritystavan vuoksi. Se odottaa, että sisäisen verkon käyttäjät pääsevät verkkosivustolle käyttämällä sen yksityistä osoitetta julkisen osoitteen sijaan.

Ongelma 3: Verkkosivusto latautuu epätäydellisesti tai ei lataudu ongelman 1 tai 2 ratkaisemisen jälkeen.
Näin voi käydä, jos verkkosivuston koodi uudelleenohjaa selaimet kohteesta www.domain.com jotta domain.com. Sisäiset linkit voivat viitata sivustoon myös nimellä domain.com eikä www.domain.com. Samat oireet näkyvät sisäisissä koneissa riippumatta siitä, isännöidäänkö sivustoa sisäisesti vai ulkoisesti.

Tässä tapauksessa asia on hieman monimutkaisempi. Jotta koneet voivat ratkaista domain.com IP-osoitteeseen, kohdassa domain.com vyöhyke DNS: ssä. Tämän tietueen nimi näkyy muodossa (sama kuin pääkansio) Windowsin DNS-konsolissa. AD käyttää kuitenkin tyhjiä isäntätietueita domain.com vyöhyke, joka edustaa DC: itä domain.com alue. Jos domain.com Tämä voi aiheuttaa vyöhyke-, viive- tai todennusongelmia.

Edellä mainituista syistä tätä ongelmaa ei voida ratkaista pelkän DNS: n avulla. Tyhjän isäntätietueen luominen verkkosivuston IP-osoitteella ratkaisee vain ajoittain sisäisten käyttäjien verkkosivuston käyttöongelman. Nykyiset ohjauskoneisiin viittaavat tyhjät isäntätietueet häiritsevät tätä round robin DNS -toiminnon vuoksi. Koska DC:t rekisteröivät nämä tietueet automaattisesti, jos ne poistetaan DNS-vyöhykkeeltä, ne ilmestyvät uudelleen säännöllisesti.
 

Aihe 1: Ulkoisesti isännöityyn yrityksen verkkosivustoon ei pääse toimiston sisältä.
Ratkaisu tähän ongelmaan on yksinkertainen. Luo isäntätietue (A) nimeltä www ohjauskoneen domain.com-vyöhykkeelle ja anna kyseiselle tietueelle verkkosivuston IP-osoite. Koneet, jotka tekevät kyselyn kyseisestä DNS-palvelimesta, saavat sitten oikean vastauksen ja voivat selata verkkosivustoa.

Ongelma 2: Sisäisesti isännöityä julkista verkkosivustoa ei voi käyttää toimiston sisältä.
Tähänkin on yksinkertainen ratkaisu. Luo isäntätietue nimeltä www ohjauskoneen domain.com-vyöhykkeelle, mutta anna tietueelle verkkosivuston yksityinen IP-osoite. Sisäiset koneet ratkaisevat verkkosivuston nimen kyseiseen yksityiseen osoitteeseen, kun taas ulkoiset koneet jatkavat nimen ratkaisemista verkkosivuston julkiseen osoitteeseen.

Ongelma 3: Verkkosivusto latautuu epätäydellisesti tai ei lataudu ongelman 1 tai 2 ratkaisemisen jälkeen.
Yksinkertaisin tapa ratkaista tämä ongelma on muokata verkkosivuston koodia uudelleenohjauksen poistamiseksi. Sisäisten linkkien tulisi myös viitata sivustoon www.domain.com eikä domain.com. Jos koodin muokkaaminen ei ole mahdollista, ainoa vaihtoehto ongelman ratkaisemiseksi on nimetä AD-verkkotunnus uudelleen. Tämä voi olla monimutkainen tehtävä ympäristön koosta ja monimutkaisuudesta riippuen.

Muistiinpano: Sivustolle on siirryttävä nimellä www.domain.com kaikissa näissä esimerkeissä. Sivustolle pääsy nimellä domain.com ei toimi tai toimii vain ajoittain.

Active Directory (AD) -toimialueen suunnittelun parhaat käytännöt neuvovat olemaan käyttämättä rekisteröityä toimialuenimeä AD-toimialueen nimenä. Tähän on ehdotettu kahta vaihtoehtoa:

• Käytä ei-julkista DNS-liitettä (.local tai .lan, esimerkiksi) AD-verkkotunnuksessa.
• Tee AD-toimialueesta rekisteröidyn verkkotunnuksen aliverkkotunnus (corp.domain.com, esimerkiksi).

Tämä on mahdollista vain, jos AD-verkkotunnusta ei ole vielä luotu tai jos uudelleennimeäminen on käynnissä.