PowerEdge. Сайт недоступен в среде Windows с идентичными внутренними и внешними доменными именами

Во всех приведенных ниже примерах домен AD и зарегистрированный домен имеют имя domain.com, а сайт компании — www.domain.com. Идентичные доменные имена создают разделенную (или «с расщеплением мощностей») среду DNS. В этой ситуации внутреннее и внешнее пространства имен DNS имеют одно и то же имя, но являются отдельными.

Проблема 1. Сайт компании, размещенный на внешнем хосте, недоступен внутри офиса.
Это самая распространенная проблема в разделенной среде DNS. Клиенты, присоединенные к домену, не могут связаться с сайтом компании или другим интернет-ресурсом, принадлежащим компании, внутри офиса. На компьютерах за пределами офиса нет проблем с доступом к сайту.

Проблема 2. Общедоступный сайт, размещенный на внутреннем хосте, недоступен внутри офиса.
Это вариант проблемы 1. Разница заключается в том, что сайт размещен на внутреннем хосте, за межсетевым экраном во внутренней сети компании, либо в DMZ. Предполагается, что он будет доступен как для внутренних, так и для внешних пользователей, но внутренние пользователи не смогут связаться с ним. Внешние пользователи не сталкиваются с проблемами.

Проблема 3. Сайт загружается не полностью или не загружается после устранения проблемы 1 или 2.
Возможно, сайт не будет загружаться вообще или загрузится частично для внутренних пользователей. Компоненты сайта могут не отображаться, а ссылки на сайте могут не работать. Внешние пользователи могут беспрепятственно получать доступ к сайту.

Проблема 1. Сайт компании, размещенный на внешнем хосте, недоступен внутри офиса.

Причину этого можно найти, отследив, что происходит, когда внутренний пользователь пытается перейти на сайт компании:

1. Компьютер пользователя запрашивает следующий IP-адрес у DNS-сервера домена (обычно контроллера домена, DC): www.domain.com.
2. Контроллер домена содержит зону прямого поиска с именем domain.com, поэтому он ищет в этой зоне запись хоста с именем www.
3. Контроллер домена не обнаружил запись хоста с именем www, и поскольку он является авторитетным для domain.com этой зоны, запрос не пересылается.
4. Контроллер домена реагирует на компьютер пользователя, указывая, что ему не удалось найти адрес для www.domain.com.
5. Браузер на компьютере пользователя отображает ошибку «Page cannot be displayed» или подобную ей.

Эта проблема возникает из-за того, что авторитетный DNS-сервер не отправляет запросы на имена в своих зонах другим DNS-серверам. Он возвращает ответ «Not found», если нет записей, соответствующих заданному запросу. В данном примере есть другие DNS-серверы с правильной записью: DNS-серверы, на которых размещена общедоступная зона domain.com . Это подтверждается тем фактом, что компьютеры вне офиса имеют доступ к сайту. Однако запросы от внутренних компьютеров не отправляются на этот сервер.

Проблема 2. Общедоступный сайт, размещенный на внутреннем хосте, недоступен внутри офиса.
Причина проблемы аналогична той, что указана в описании проблемы 1. Внутренние пользователи в этом случае могут правильно определить имя сайта по его общедоступному IP-адресу. Однако они по-прежнему не могут получить доступ к сайту из-за настроек межсетевого экрана. Ожидается, что пользователи внутренней сети будут получать доступ к сайту с использованием его частного, а не общедоступного адреса.

Проблема 3. Сайт загружается не полностью или не загружается после устранения проблемы 1 или 2.
Это может произойти, если код сайта перенаправляет браузеры с www.domain.com на domain.com. Внутренние ссылки могут также указывать на сайт: domain.com вместо www.domain.com. Те же симптомы наблюдаются на внутренних компьютерах независимо от того, размещен ли сайт на внутреннем или внешнем хосте.

В этом случае проблема немного сложнее. Чтобы компьютеры разрешали domain.com для IP-адреса, должна быть пустая запись хоста в зоне domain.com на DNS-сервере. Имя этой записи отображается как (то же, что и родительская папка) в консоли Windows DNS. Однако AD использует пустые записи хостов в зоне domain.com , представляющие DC для domain.com домена. Если присутствуют дополнительные пустые записи хоста в зоне domain.com , это может привести к задержкам или проблемам с аутентификацией.

По указанным выше причинам эту проблему невозможно решить только с помощью DNS. Создание пустой записи хоста с IP-адресом сайта только периодически устраняет проблему доступа к сайту для внутренних пользователей. Существующие пустые записи хоста, ссылающиеся на DC, мешают этому из-за функции циклического перебора DNS. Поскольку эти записи автоматически регистрируются DC, если они удаляются из зоны DNS, они регулярно появляются снова.
 

Проблема 1. Сайт компании, размещенный на внешнем хосте, недоступен внутри офиса.
Решить эту проблему просто. Создайте запись хоста (A) с именем www в зоне domain.com на DC и укажите IP-адрес сайта. Компьютеры, которые запрашивают этот DNS-сервер, получают правильный ответ и могут просматривать сайт.

Проблема 2. Общедоступный сайт, размещенный на внутреннем хосте, недоступен внутри офиса.
Для этого также существует простое решение. Создайте запись хоста с именем www в зоне domain.com на DC, но укажите для сайта частный IP-адрес. Внутренние компьютеры определяют имя сайта по этому частному адресу, а внешние компьютеры продолжают определять имя по общедоступному адресу сайта.

Проблема 3. Сайт загружается не полностью или не загружается после устранения проблемы 1 или 2.
Самый простой способ устранить эту проблему — изменить код сайта, чтобы отключить перенаправление. Кроме того, внутренние ссылки должны ссылаться на сайт www.domain.com, а не на domain.com. Если изменить код невозможно, единственным альтернативным вариантом решения проблемы является переименование домена AD. Это может быть сложной задачей в зависимости от размера и сложности среды.

Примечание. Доступ к сайту должен осуществляться с помощью имени www.domain.com во всех данных примерах. Доступ к сайту с помощью имени domain.com не работает или работает только периодически.

Согласно передовым практикам проектирования домена Active Directory (AD), рекомендуется избегать использования зарегистрированного доменного имени в качестве имени домена AD. Предлагаются два альтернативных варианта.

• Используйте непубличный DNS-суффикс (например,.local или .lan) в доменном имени AD.
• Сделайте домен AD поддоменом зарегистрированного домена (corp.domain.comкак пример).

Это возможно только в том случае, если домен AD еще не создан или выполняется операция переименования.