PowerEdge: Веб-сайт недоступний у середовищі Windows з ідентичними внутрішніми та зовнішніми доменними іменами

У всіх наведених нижче прикладах домен AD і зареєстрований домен мають ім'я domain.com, а веб-сайт компанії називається www.domain.com. Однакові доменні імена створюють розділене (або розділене мозкове) DNS-середовище . У цій ситуації внутрішній і зовнішній простори імен DNS мають однакові імена, але є окремими.

Випуск 1: Веб-сайт компанії, розміщений ззовні, недоступний зсередини офісу.
Це найпоширеніша проблема в розділеному середовищі DNS. Веб-сайт компанії або інший ресурс, що належить компанії, підключений до Інтернету, не може бути доступний зсередини офісу для клієнтів, приєднаних до домену. Машини поза офісом без проблем потрапляють на сайт.

Випуск 2: Загальнодоступний веб-сайт, розміщений на внутрішньому хостингу, недоступний зсередини офісу.
Це варіант питання 1 вище. Різниця полягає в тому, що сайт розміщується всередині компанії, або за брандмауером у внутрішній мережі компанії, або в DMZ. Передбачається, що він буде доступний як внутрішнім, так і зовнішнім користувачам, але внутрішні користувачі не можуть до нього дістатися. Зовнішні користувачі не повідомляють про проблеми.

Випуск 3: Веб-сайт завантажується неповністю або не завантажується після вирішення проблеми 1 або 2.
Сайт може не завантажуватися взагалі або завантажуватися неповністю для внутрішніх користувачів. Частини сайту можуть не відображатися, а посилання на сайті можуть не функціонувати. Зовнішні користувачі можуть отримати доступ до веб-сайту без проблем.

Випуск 1: Веб-сайт компанії, розміщений ззовні, недоступний зсередини офісу.

Причину цього можна показати, розглянувши, що відбувається, коли внутрішній користувач намагається переглянути веб-сайт компанії:

1. Комп'ютер користувача запитує IP-адресу IP-адреси DNS-сервера домену, як правило, контролера домену (DC), www.domain.com.
2. У ДЦ розташована зона прямого огляду під назвою domain.com, тому в цій зоні він шукає запис хоста з іменем www.
3. Округ Колумбія не знаходить запису про хоста з іменем www, і оскільки він є авторитетним для domain.com зоні, він не пересилає запит.
4. ДЦ відповідає на комп'ютер користувача, кажучи, що не зміг знайти адресу для www.domain.com.
5. Браузер на комп'ютері користувача показує «Не вдається відобразити сторінку» або подібну помилку.

Проблема виникає через те, що авторитетний DNS-сервер не надсилає запити на імена у своїх зонах на інші DNS-сервери. Він повертає відповідь «не знайдено», якщо немає запису, що відповідає заданому запиту. У цьому прикладі є інші DNS-сервери з правильним записом: DNS-сервери, на яких розміщено загальнодоступний файл domain.com зона. Це видно з того, що машини поза офісом можуть дістатися до сайту. Однак запити з внутрішніх машин не надсилаються на цей сервер.

Випуск 2: Загальнодоступний веб-сайт, розміщений на внутрішньому хостингу, недоступний зсередини офісу.
Причина проблеми аналогічна тій, що була у випуску 1. Внутрішні користувачі в цьому випадку можуть правильно визначити ім'я веб-сайту на його публічну IP-адресу. Однак вони все одно не можуть отримати доступ до веб-сайту через те, як налаштований брандмауер. Він очікує, що користувачі внутрішньої мережі отримуватимуть доступ до веб-сайту, використовуючи його приватну адресу, а не загальнодоступну.

Випуск 3: Веб-сайт завантажується неповністю або не завантажується після вирішення проблеми 1 або 2.
Це може статися, якщо код сайту перенаправляє браузери з www.domain.com до domain.com. Внутрішні посилання також можуть посилатися на сайт як на domain.com а не Www.domain.com. Ті ж симптоми спостерігаються на внутрішніх машинах, незалежно від того, розміщений сайт всередині або зовні

.Питання в даному випадку трохи складніше. Для того, щоб машини розв'язали domain.com на IP-адресу, повинен бути порожній запис хоста в domain.com в DNS. Ім'я цього запису відображається як (так само, як і батьківська папка) у консолі DNS Windows. Однак AD використовує порожні записи хоста в domain.com зони для представлення ДЦ для domain.com домен. Якщо в об'єкті є зайві порожні записи хоста domain.com Це може призвести до затримок або проблем з автентифікацією.

З наведених вище причин цю проблему не можна вирішити лише за допомогою DNS. Створення пустого запису хоста з IP-адресою веб-сайту лише періодично вирішує проблему доступу до веб-сайту для внутрішніх користувачів. Існуючі порожні записи хостів, що посилаються на DC, заважають цьому через функціональність DNS за круговою системою. Оскільки ці записи автоматично реєструються DC, якщо їх видаляють із зони DNS, вони регулярно з'являються знову.
 

Випуск 1: Веб-сайт компанії, розміщений ззовні, недоступний зсередини офісу.
Рішення цього питання просте. Створіть запис хоста (A) з іменем www у зоні domain.com на округу Колумбія та надайте цьому запису IP-адресу веб-сайту. Машини, які запитують цей DNS-сервер, потім отримують правильну відповідь і можуть переглядати веб-сайт.

Випуск 2: Загальнодоступний веб-сайт, розміщений на внутрішньому хостингу, недоступний зсередини офісу.
І тут є просте рішення. Створіть запис хоста з іменем www у зоні domain.com на округу Колумбія, але надайте запису приватну IP-адресу веб-сайту. Внутрішні комп'ютери визначають ім'я веб-сайту за цією приватною адресою, тоді як зовнішні машини продовжують визначати ім'я за загальнодоступною адресою веб-сайту.

Випуск 3: Веб-сайт завантажується неповністю або не завантажується після вирішення проблеми 1 або 2.
Найпростіший спосіб вирішити цю проблему – змінити код веб-сайту, щоб видалити перенаправлення. Також внутрішні посилання повинні посилатися на сайт як на www.domain.com, а не domain.com. Якщо змінити код неможливо, єдиним іншим варіантом вирішення проблеми є перейменування домену AD. Це може бути складним завданням, залежно від розміру та складності середовища.

Примітка: Доступ до веб-сайту має здійснюватися за допомогою імені www.domain.com у всіх цих прикладах. Доступ до сайту за допомогою імені domain.com не працює або працює лише з перебоями.

Практичні поради щодо дизайну доменів Active Directory (AD) не радять використовувати зареєстроване доменне ім'я як ім'я домену AD. Є дві запропоновані альтернативи цьому:

• Використовуйте непублічний суфікс DNS (.local або .lan, наприклад) в доменному імені AD.
• Зробіть домен AD субдоменом зареєстрованого домену (corp.domain.com, наприклад).

Це можливо лише в тому випадку, якщо домен AD ще не був створений або якщо виконується операція з перейменування.