PowerEdge: nieosiągalna witryna internetowa w środowisku Windows z identycznymi nazwami domen wewnętrznych i zewnętrznych

We wszystkich poniższych przykładach zarówno domena AD, jak i zarejestrowana domena mają nazwy domain.com, a witryna internetowa firmy nosi nazwę www.domain.com. Identyczne nazwy domen tworzą podzielone (lub typu split-brain) środowisko DNS. W takiej sytuacji wewnętrzny i zewnętrzny obszar nazw DNS mają tę samą nazwę, ale są rozdzielone.

Problem 1: Hostowana zewnętrznie publiczna witryna internetowa jest niedostępna z poziomu biura.
Jest to najczęstszy problem w podzielonym środowisku DNS. Klienci przyłączeni do domeny nie mogą uzyskać dostępu do witryny internetowej firmy ani innych zasobów internetowych należących do firmy z poziomu biura. Komputery poza biurem nie mają problemów z osiągnięciem witryny.

Problem 2: Hostowana wewnętrznie publiczna witryna internetowa jest niedostępna z poziomu biura.
Jest to odmiana problemu 1 powyżej. Różnica polega na tym, że witryna internetowa jest hostowana wewnętrznie, albo za zaporą w sieci wewnętrznej firmy, albo w strefie DMZ. Ma być dostępna zarówno dla użytkowników wewnętrznych, jak i zewnętrznych, ale użytkownicy wewnętrzni nie są w stanie do niej dotrzeć. Użytkownicy zewnętrzni nie zgłaszają żadnych problemów.

Problem 3: Witryna ładuje się niekompletnie lub nie ładuje się po rozwiązaniu problemu 1 lub 2.
Witryna może w ogóle się nie ładować lub może ładować się niekompletnie dla użytkowników wewnętrznych. Niektóre części witryny mogą nie być wyświetlane, a linki w witrynie mogą nie działać. Użytkownicy zewnętrzni mogą uzyskać dostęp do witryny bez żadnych problemów.

Problem 1: Hostowana zewnętrznie witryna internetowa firmy jest niedostępna z poziomu biura.

Można pokazać powód, dla którego tak się dzieje, badając, co się dzieje, gdy użytkownik wewnętrzny próbuje przeglądać witrynę internetową firmy:

1. Komputer użytkownika wysyła zapytanie do serwera DNS domeny, zazwyczaj kontrolera domeny (DC), o adres IP www.domain.com.
2. Kontroler domeny obsługuje strefę wyszukiwania wprzód o nazwie domain.com, zatem szuka w tej strefie rekordu hosta o nazwie www.
3. Kontroler domeny nie znajduje rekordu hosta o nazwie www, a jako że jest on autorytatywny dla strefy domain.com , nie przekazuje zapytania.
4. Kontroler domeny odpowiada komputerowi użytkownika, podając, że nie może znaleźć adresu dla www.domain.com.
5. Przeglądarka na komputerze użytkownika wyświetla komunikat „Nie można wyświetlić strony” lub podobny błąd.

Powstaje problem, ponieważ autorytatywny serwer DNS nie wysyła kwerend dotyczących nazw w swoich strefach do innych serwerów DNS. Zwraca odpowiedź „nie znaleziono”, jeśli nie ma rekordu pasującego do danego zapytania. W tym przykładzie istnieją inne serwery DNS z poprawnym rekordem: serwery DNS, które hostują strefę publiczną domain.com . Świadczy o tym fakt, że komputery znajdujące się poza biurem mają dostęp do witryny. Zapytania z komputerów wewnętrznych nie są jednak wysyłane do tego serwera.

Problem 2: Hostowana wewnętrznie publiczna witryna internetowa jest niedostępna z poziomu biura.
Przyczyna problemu jest podobna jak w przypadku problemu 1. Użytkownicy wewnętrzni mogą prawidłowo przekształcić nazwę witryny na jej publiczny adres IP. Jednak nadal nie mogą uzyskać dostępu do witryny ze względu na sposób konfiguracji zapory. Oczekuje ona, że użytkownicy w sieci wewnętrznej uzyskają dostęp do witryny za pomocą jej prywatnego adresu, a nie adresu publicznego.

Problem 3: Witryna ładuje się niekompletnie lub nie ładuje się po rozwiązaniu problemu 1 lub 2.
Może się tak zdarzyć, jeśli kod witryny przekierowuje przeglądarki z www.domain.com na domain.com. Linki wewnętrzne mogą również odnosić się do witryny jako domain.com zamiast www.domain.com. Te same objawy są widoczne na komputerach wewnętrznych, niezależnie od tego, czy witryna jest hostowana wewnętrznie, czy zewnętrznie.

Problem w tym przypadku jest nieco bardziej złożony. Aby komputery mogły przekształcić domain.com na adres IP, musi istnieć pusty rekord hosta w strefie domain.com w DNS. Nazwa tego rekordu jest wyświetlana jako (taka sama jak folder nadrzędny) w konsoli DNS systemu Windows. Jednak usługa AD używa pustych rekordów hosta w strefie domain.com , aby reprezentować DC dla domeny domain.com . Jeśli są dodatkowe puste rekordy hosta w strefie domain.com , mogą wystąpić opóźnienia lub problemy z uwierzytelnianiem.

Z powyższych przyczyn nie można rozwiązać tego problemu za pomocą wyłącznie DNS. Utworzenie pustego rekordu hosta z adresem IP witryny internetowej tylko sporadycznie rozwiązuje problem z dostępem do witryny internetowej dla użytkowników wewnętrznych. Istniejące puste rekordy hosta odwołujące się do DC zakłócają to ze względu na działanie karuzelowe DNS. Ponieważ te rekordy są automatycznie rejestrowane przez DC, jeśli zostaną usunięte ze strefy DNS, regularnie pojawiają się ponownie.
 

Problem 1: Hostowana wewnętrznie publiczna witryna internetowa jest niedostępna z poziomu biura.
Rozwiązanie tego problemu jest proste. Utwórz rekord hosta (A) o nazwie www w strefie domain.com na DC i nadaj temu rekordowi adres IP witryny internetowej. Komputery, które wysyłają zapytanie do tego serwera DNS, otrzymują poprawną odpowiedź i mogą przeglądać witrynę internetową.

Problem 2: Hostowana wewnętrznie publiczna witryna internetowa jest niedostępna z poziomu biura.
Na to też jest proste rozwiązanie. Utwórz rekord hosta o nazwie www w strefie domain.com na DC, ale nadaj rekordowi prywatny adres IP witryny internetowej. Komputery wewnętrzne przekształcają nazwę witryny sieci Web na adres prywatny, podczas gdy komputery zewnętrzne kontynuują rozpoznawanie nazwy na adres publiczny witryny.

Problem 3: Witryna ładuje się niekompletnie lub nie ładuje się po rozwiązaniu problemu 1 lub 2.
Najprostszym sposobem rozwiązania tego problemu jest modyfikacja kodu witryny w celu usunięcia przekierowania. Ponadto linki wewnętrzne powinny odnosić się do witryny jako www.domain.com, a nie domain.com. Jeśli zmodyfikowanie kodu nie jest możliwe, jedyną inną opcją rozwiązania problemu jest zmiana nazwy domeny AD. Może to być złożone zadanie, w zależności od wielkości i złożoności środowiska.

Uwaga: dostęp do witryny należy uzyskać za pomocą nazwy www.domain.com we wszystkich tych przykładach. Uzyskiwanie dostępu do witryny przy użyciu nazwy domain.com nie działa lub działa tylko sporadycznie.

Najlepsze rozwiązania dotyczące projektowania domeny usługi Active Directory (AD) odradzają używanie zarejestrowanej nazwy domeny jako nazwy domeny usługi AD. Istnieją dwie sugerowane alternatywy:

• Zastosuj niepubliczny sufiks DNS (np..local lub .lan) w nazwie domeny AD.
• Ustaw domenę AD jako poddomenę zarejestrowanej domeny (np.corp.domain.com).

Jest to możliwe tylko wtedy, gdy domena usługi AD nie została jeszcze utworzona lub jeśli trwa operacja zmiany nazwy.