PowerEdge: Aynı dahili ve harici etki alanı adlarına sahip bir Windows ortamında web sitesine erişilemiyor

Aşağıdaki tüm örneklerde, AD etki alanı ve kayıtlı etki alanının her ikisi de domain.com olarak adlandırılır ve www.domain.com adlı bir şirket web sitesi vardır. Aynı etki alanı adları, bölünmüş (veya bölünmüş beyinli) bir DNS ortamı oluşturur. Bu durumda, dahili ve harici DNS ad alanları aynı ada sahiptir fakat ayrıdır.

1. Sorun: Harici olarak barındırılan bir şirket web sitesine ofis içinden erişilememesi.
Bu, bölünmüş DNS ortamlarındaki en yaygın sorundur. Şirketin web sitesine veya şirkete ait başka bir internet bağlantılı kaynağa, etki alanına katılmış müşteriler tarafından ofis içinden erişilemez. Ofis dışındaki makineler web sitesine ulaşma konusunda herhangi bir sorun yaşamaz.

2. Sorun: Dahili olarak barındırılan genel bir web sitesine ofis içinden erişilememesi.
Bu, yukarıdaki 1. sorunun bir diğer halidir. Aradaki fark, web sitesinin dahili olarak, şirketin dahili ağındaki bir güvenlik duvarının arkasında veya bir DMZ'de barındırılmasıdır. Hem dahili hem de harici kullanıcılar tarafından siteye erişilebilmesi gerekir fakat dahili kullanıcılar siteye erişemez. Harici kullanıcılar herhangi bir sorun bildirmemiştir.

3. Sorun: 1. veya 2. sorun giderildikten sonra web sitesinin eksik yüklenmesi veya yüklenmemesi.
Site hiç yüklenmeyebilir veya dahili kullanıcılar için eksik yüklenebilir. Sitenin bazı bölümleri görüntülenmeyebilir ve site içindeki bağlantılar çalışmayabilir. Harici kullanıcılar web sitesine sorunsuz bir şekilde erişebilir.

1. Sorun: Harici olarak barındırılan bir şirket web sitesine ofis içinden erişilememesi.

Bu durumun nedeni, dahili bir kullanıcı şirketin web sitesine göz atmaya çalıştığında ne olduğu incelenerek gösterilebilir:

1. Kullanıcının bilgisayarı, genellikle bir etki alanı denetleyicisi (DC) olan etki alanının DNS sunucusunu www.domain.comIP adresi için sorgular.
2. DC, domain.comadında bir ileri arama bölgesi barındırır; dolayısıyla bu bölgede wwwadlı bir ana bilgisayar kaydı arar.
3. DC, wwwadlı herhangi bir ana bilgisayar kaydı bulamaz ve domain.com bölgesi için yetkili olduğundan sorguyu iletmez.
4. DC, kullanıcının bilgisayarına yanıt vererek www.domain.comiçin bir adres bulamadığını belirtir.
5. Kullanıcının bilgisayarındaki tarayıcı "Sayfa görüntülenemiyor" veya benzeri bir hata görüntüler.

Sorun, yetkili bir DNS sunucusunun kendi bölgelerindeki adlar için sorguları diğer DNS sunucularına göndermemesi nedeniyle oluşur. Belirli bir sorguyla eşleşen bir kayıt yoksa "bulunamadı" yanıtı döndürür. Bu örnekte, doğru kayda sahip diğer DNS sunucuları da vardır: domain.com genel bölgeyi barındıran DNS sunucuları. Bu, ofis dışındaki makinelerin web sitesine ulaşabilmesi gerçeğinden anlaşılmaktadır. Öte yandan, ofis içindeki makinelerden gelen sorgular bu sunucuya gönderilmez.

2. Sorun: Dahili olarak barındırılan genel bir web sitesine ofis içinden erişilememesi.
Sorunun nedeni, 1. sorundakine benzerdir. Bu durumda dahili kullanıcılar, web sitesinin adını genel IP adresine doğru bir şekilde çözümleyebilir. Öte yandan, güvenlik duvarının yapılandırılma şekli nedeniyle yine de web sitesine erişemezler. Web sitesi, dahili ağdaki kullanıcıların web sitesine genel adresi yerine özel adresini kullanarak erişmesini bekler.

3. Sorun: 1. veya 2. sorun giderildikten sonra web sitesinin eksik yüklenmesi veya yüklenmemesi.
Bu durum, web sitesi kodunun tarayıcıları www.domain.com adresinden domain.comadresine yönlendirmesi nedeniyle oluşuyor olabilir. Dahili bağlantılar ayrıca siteye domain.com olarak atıfta bulunuyor olabilir. Olması gereken ise www.domain.comşeklindedir. Aynı belirtiler, sitenin dahili veya harici olarak barındırılıp barındırılmadığına bakılmaksızın ofis içindeki makinelerde de görülür.

Bu durumda sorun biraz daha karmaşıktır. Makinelerin domain.com adını bir IP adresine çözümlemesi için DNS'teki domain.com bölgesinde boş bir ana bilgisayar kaydı bulunmalıdır. Bu kaydın adı, Windows DNS konsolunda (üst klasörle aynı) şeklinde görünür. Ancak AD, domain.com bölgesindeki boş ana bilgisayar kayıtlarını kullanarak domain.com etki alanına yönelik DC'leri temsil eder. If there are extra blank host records in the domain.com bölgesinde fazladan boş ana bilgisayar kayıtları varsa gecikmeler veya kimlik doğrulama sorunları ortaya çıkabilir.

Yukarıdaki nedenlerden dolayı, bu sorun yalnızca DNS kullanılarak çözülemez. Web sitesinin IP adresiyle boş bir ana bilgisayar kaydı oluşturmak, dahili kullanıcılar için web sitesi erişim sorununu yalnızca aralıklı olarak çözer. DC'lere atıfta bulunan mevcut boş ana bilgisayar kayıtları, çevrimsel sıralı DNS işlevselliği nedeniyle buna engel olur. Bu kayıtlar DC'ler tarafından otomatik olarak kaydedildiğinden, DNS bölgesinden kaldırılırlarsa düzenli aralıklarla yeniden görüntülenirler.
 

1. Sorun: Harici olarak barındırılan bir şirket web sitesine ofis içinden erişilememesi.
Bu sorunun çözümü basittir. DC'deki domain.com bölgesinde www adında bir ana bilgisayar (A) kaydı oluşturun ve bu kayda web sitesinin IP adresini verin. Böylece, bu DNS sunucusunu sorgulayan makineler doğru yanıtı alır ve web sitesine erişebilir.

2. Sorun: Dahili olarak barındırılan genel bir web sitesine ofis içinden erişilememesi.
Bunun da basit bir çözümü vardır. DC'deki domain.com bölgesinde www adlı bir ana bilgisayar kaydı oluşturun fakat bu kez kayda web sitesinin özel IP adresini verin. Dahili makineler web sitesinin adını bu özel adrese çözümlerken, harici makineler adı web sitesinin genel adresine çözümlemeye devam eder.

3. Sorun: 1. veya 2. sorun giderildikten sonra web sitesinin eksik yüklenmesi veya yüklenmemesi.
Bu sorunu çözmenin en basit yolu, yeniden yönlendirmeyi kaldırmak için web sitesinin kodunu değiştirmektir. Ayrıca, dahili bağlantılar siteye domain.com yerine www.domain.com olarak atıfta bulunmalıdır. Kodu değiştirmek mümkün değilse sorunu çözmek için kalan tek seçenek AD etki alanını yeniden adlandırmaktır. Bu, ortamın boyutuna ve karmaşıklığına bağlı olarak karmaşık bir görev olabilir.

Not: Tüm bu örneklerde web sitesine www.domain.com adıyla erişilmelidir. Siteye erişmek için domain.com adını kullanmak işe yaramaz veya yalnızca bazı durumlarda işe yarar.

Active Directory (AD) etki alanı tasarımı için en iyi uygulamalar, kayıtlı bir etki alanı adının AD etki alanı adı olarak kullanılmamasını tavsiye eder. Bunun için önerilen iki alternatif vardır:

• AD etki alanı adında genel olmayan bir DNS soneki (ör..local veya .lan) kullanma.
• AD etki alanını, kayıtlı etki alanının alt etki alanına dönüştürme (ör.corp.domain.com).

Bu işlem, yalnızca AD etki alanı önceden oluşturulmamışsa veya yeniden adlandırma işlemi devam ediyorsa mümkündür.