PowerEdge: sito web irraggiungibile in un ambiente Windows con nomi di dominio interni ed esterni identici

In tutti gli esempi riportati di seguito, il dominio AD e il dominio registrato sono entrambi denominati domain.com e il sito web aziendale è denominato www.domain.com. I nomi di dominio identici creano un ambiente DNS di tipo split(o split-brain). In questa situazione, gli spazi dei nomi DNS interni ed esterni hanno lo stesso nome, ma sono separati.

Problema 1: un sito web aziendale con hosting esterno è inaccessibile dall'interno dell'ufficio.
Questo è il problema più comune in un ambiente DNS di tipo split. Il sito web dell'azienda, o un'altra risorsa di proprietà dell'azienda connessa a Internet, non è raggiungibile dall'interno dell'ufficio da client appartenenti al dominio. I computer esterni all'ufficio non hanno problemi a raggiungere il sito web.

Problema 2: un sito web pubblico con hosting interno è inaccessibile dall'interno dell'ufficio.
Si tratta di una variante del problema 1 precedente. La differenza è che il sito web è ospitato internamente, dietro un firewall sulla rete interna dell'azienda o in una DMZ. Dovrebbe essere accessibile sia agli utenti interni che a quelli esterni, ma gli utenti interni non sono in grado di raggiungerlo. Gli utenti esterni non segnalano problemi.

Problema 3: il sito Web non viene caricato completamente o dopo aver risolto il problema 1 o 2.
Il sito potrebbe non caricarsi o caricarsi in modo incompleto per gli utenti interni. Alcune parti del sito potrebbero non essere visualizzate e i link all'interno del sito potrebbero non funzionare. Gli utenti esterni possono accedere al sito web senza problemi.

Problema 1: un sito web aziendale con hosting esterno è inaccessibile dall'interno dell'ufficio.

Il motivo per cui si verifica questo problema può essere mostrato esaminando ciò che accade quando un utente interno tenta di navigare sul sito web dell'azienda.

1. Il computer dell'utente interroga il server DNS del dominio, in genere un controller di dominio (DC), per ottenere l'indirizzo IP di www.domain.com.
2. Il DC ospita una zona di ricerca diretta denominata domain.com, quindi cerca in tale zona un record host denominato www.
3. Il DC non trova alcun record host denominato wwwe, poiché è autorevole per la zona domain.com , non inoltra la query.
4. Il DC risponde al computer dell'utente, segnalando che non è stato possibile trovare un indirizzo per www.domain.com.
5. Il browser sul computer dell'utente mostra "Page cannot be displayed" o un errore simile.

Il problema sorge perché un server DNS autorevole non invia query per i nomi nelle sue zone ad altri server DNS. Restituisce una risposta "Not Found" se non è presente alcun record corrispondente a una data query. In questo esempio sono presenti altri server DNS con il record corretto: I server DNS che ospitano la zona domain.com pubblica. Ciò è evidente dal fatto che i computer esterni all'ufficio possono raggiungere il sito web. Tuttavia, le query dai computer interni non vengono inviate a tale server.

Problema 2: un sito web pubblico con hosting interno è inaccessibile dall'interno dell'ufficio.
Il motivo del problema è simile a quello del numero 1. In questo caso, gli utenti interni possono risolvere correttamente il nome del sito web nell'indirizzo IP pubblico. Tuttavia, non è ancora possibile raggiungere il sito web a causa del modo in cui il firewall è configurato. Gli utenti della rete interna dovrebbero accedere al sito web utilizzando il proprio indirizzo privato anziché l'indirizzo pubblico.

Problema 3: il sito web non viene caricato completamente o dopo aver risolto il problema 1 o 2.
Ciò può verificarsi se il codice del sito web reindirizza i browser da www.domain.com su domain.com. I link interni possono anche fare riferimento al sito come domain.com invece di www.domain.com. Gli stessi sintomi si riscontrano sui computer interni, indipendentemente dal fatto che il sito sia ospitato internamente o esternamente.

Il problema in questo caso è un po' più complesso. Affinché i computer possano risolvere domain.com in un indirizzo IP, deve essere presente un record host vuoto nella zona domain.com in DNS. Il nome di questo record viene visualizzato come (uguale alla cartella padre) nella console DNS di Windows. Tuttavia, AD utilizza record host vuoti nella zona domain.com per rappresentare i DC per il dominio domain.com . Se sono presenti altri record host vuoti nella zona domain.com , potrebbero verificarsi ritardi o problemi di autenticazione.

Per i motivi sopra riportati, questo problema non può essere risolto utilizzando solo DNS. La creazione di un record host vuoto con l'indirizzo IP del sito web risolve solo in modo intermittente il problema di accesso al sito web per gli utenti interni. I record host vuoti esistenti che fanno riferimento ai DC interferiscono con questa condizione, a causa della funzionalità DNS Round Robin. Poiché tali record vengono registrati automaticamente dai DC, se vengono rimossi dalla zona DNS, vengono nuovamente visualizzati.
 

Problema 1: un sito web aziendale con hosting esterno è inaccessibile dall'interno dell'ufficio.
La soluzione a questo problema è semplice. Creare un record host (A) denominato www nella zona domain.com sul DC e assegnare al record l'indirizzo IP del sito web. I computer che interrogano il server DNS ricevono la risposta corretta e possono navigare nel sito web.

Problema 2: un sito web pubblico con hosting interno è inaccessibile dall'interno dell'ufficio.
Anche qui, esiste una soluzione semplice. Creare un record host denominato www nella zona domain.com sul DC, ma assegnare al record l'indirizzo IP privato del sito web. I computer interni risolvono il nome del sito web nell'indirizzo privato, mentre i computer esterni continuano a risolvere il nome nell'indirizzo pubblico del sito web.

Problema 3: il sito web non viene caricato completamente o dopo aver risolto il problema 1 o 2.
Il modo più semplice per risolvere questo problema è modificare il codice del sito web per rimuovere il reindirizzamento. Inoltre, i link interni devono fare riferimento al sito come www.domain.com anziché domain.com. Se non è possibile modificare il codice, l'unica altra opzione per risolvere il problema è rinominare il dominio AD. Può trattarsi di un'attività difficile, a seconda delle dimensioni e della complessità dell'ambiente.

Nota: è necessario accedere al sito web utilizzando il nome www.domain.com in tutti questi esempi. L'accesso al sito tramite il nome domain.com non funziona o funziona solo in modo intermittente.

Le best practice per la progettazione di un dominio Active Directory (AD) consigliano di non utilizzare un nome di dominio registrato come nome di dominio AD. Esistono due alternative proposte:

• Utilizzare un suffisso DNS non pubblico (.local oppure .lan, ad esempio) nel nome del dominio AD.
• Rendere il dominio AD un sottodominio del dominio registrato (corp.domain.com, ad esempio).

Ciò è possibile solo se il dominio AD non è già stato creato o se è in corso un'operazione di ridenominazione.