PowerEdge:在内部和外部域名相同的 Windows 环境中无法访问网站

摘要: 本文提供有关在 Active Directory 和 Internet 域名相同的环境中可能出现的三个问题的信息。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

    在下面的所有示例中,AD 域和注册域均命名为 domain.com,并且有一个名为 www.domain.com 的公司网站。这些相同的域名将会创建拆分式(或大脑分裂式DNS 环境。在此情况下,内部和外部 DNS 命名空间具有相同的名称,但它们彼此是独立的。

    问题 1:外部托管的公司网站无法从办公室内部进行访问。
    这是拆分式 DNS 环境中最常见的问题。加入域的客户端无法从办公室内部访问该公司的网站或其他公司拥有的互联网连接的资源。而办公室外部的计算机在访问该网站时没有任何问题。

      问题 2:内部托管的公共网站无法从办公室内部进行访问。
      这是上述问题 1 的变种。不同之处在于,该网站托管在公司内部,要么位于公司内部网络的防火墙后面,要么位于 DMZ 中。它应该可供内部和外部用户访问,但内部用户却无法对其进行访问。外部用户未报告任何问题。

      问题 3:在问题 1 或 2 得到解决后,网站加载不完整或无法加载。
      对于内部用户来说,该网站可能根本无法加载或加载不完整。该网站的某些部分可能不会显示,并且网站内的链接可能无法正常工作。而外部用户可以毫无问题地访问该网站。

      原因

      问题 1:外部托管的公司网站无法从办公室内部进行访问。

      通过检查内部用户尝试浏览该公司网站时发生的情况,可找出引起上述问题的原因:

      1. 该用户的计算机查询域的 DNS 服务器(通常是域控制器 (DC)),以获取 www.domain.com的 IP 地址。
      2. DC 托管了名为 domain.com的正向查找区域,因此它会在该区域中查找名为 www的主机记录。
      3. DC 找不到名为 www的主机记录,由于它是 domain.com 区域的权威域控制器,因此不会转发查询。
      4. DC 响应用户的计算机,声称找不到 www.domain.com的地址。
      5. 用户计算机上的浏览器显示“Page cannot be displayed”或类似错误。

      出现此问题的原因是,权威 DNS 服务器不会将对其区域中名称的查询发送到其他 DNS 服务器。如果没有与给定查询匹配的记录,那么它将返回“not found”响应。在此示例中,还有其他具有正确记录的 DNS 服务器:托管公共 domain.com 区域的 DNS 服务器。这一点从办公室外部的计算机能够访问该网站这一事实中可以明显看出来。不过,来自内部计算机的查询不会被发送到该服务器。

      问题 2:内部托管的公共网站无法从办公室内部进行访问。
      该问题的原因与问题 1 的原因类似。在此案例中,内部用户可以正确地将网站名称解析为其公用 IP 地址。但是,由于防火墙的配置方式,他们仍然无法访问该网站。它希望内部网络上的用户使用其专用地址(而非公用地址)访问该网站。

      问题 3:在问题 1 或 2 得到解决后,网站加载不完整或无法加载。
      如果网站代码将浏览器从 www.domain.com 重定向到 domain.com,就会发生这种情况。此外,内部链接还可能会将该网站称为 domain.com 而不是 www.domain.com。无论该网站是内部托管还是外部托管,内部计算机上都会出现相同的症状。

      此案例中的问题稍微复杂一些。为了让计算机将 domain.com 解析为 IP 地址,DNS 中的 domain.com 区域内必须有空白的主机记录。此记录的名称在 Windows DNS 控制台中显示为(与父文件夹相同)。但是,AD 使用 domain.com 区域中的空白主机记录来表示 domain.com 域的 DC。如果 domain.com 区域中存在额外的空白主机记录,则可能会导致延迟或身份验证问题。

      由于上述原因,仅使用 DNS 无法解决此问题。使用网站 IP 地址创建空白主机记录只能间歇性地解决内部用户的网站访问问题。引用 DC 的现有空白主机记录因轮询 DNS 功能的缘故会对此造成干扰。由于这些记录由 DC 自动注册,因此,如果您从 DNS 区域中删除它们,它们会定期重新出现。
       

      解决方案

      问题 1:外部托管的公司网站无法从办公室内部进行访问。
      这个问题的解决方案很简单。在 DC 上的 domain.com 区域中创建名为 www 的主机 (A) 记录,并为此记录提供网站的 IP 地址。查询该 DNS 服务器的计算机随后会收到正确的响应,并可以浏览该网站。

      问题 2:内部托管的公共网站无法从办公室内部进行访问。
      对此,目前也有一个简单的解决方案。在 DC 上的 domain.com 区域中创建名为 www 的主机记录,但为此记录提供网站的专用 IP 地址。内部计算机将网站名称解析为该专用地址,而外部计算机继续将此名称解析为网站的公用地址。

      问题 3:在问题 1 或 2 得到解决后,网站加载不完整或无法加载。
      解决此问题的最简单方法是修改网站的代码以删除重定向。此外,内部链接应将该网站称为 www.domain.com 而不是 domain.com。如果无法修改代码,解决问题的唯一其他选项是重命名 AD 域。这可能是一项复杂的任务,具体取决于环境的大小和复杂性。

      提醒:在所有这些示例中,必须使用 www.domain.com 这一名称来访问网站。使用 domain.com 这一名称访问网站不起作用或只是间歇性起作用。

      其他信息

      Active Directory (AD) 域设计的最佳实践建议不要使用已注册的域名作为 AD 域的名称。对此,目前有两种建议的替代方案:

      • 在 AD 域名中使用非公共 DNS 后缀(例如,.local 或 .lan)。
      • 将 AD 域设为已注册域的子域(例如,corp.domain.com)。

      只有在尚未创建 AD 域或正在进行重命名操作的情况下,才有可能这样做。

      受影响的产品

      Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2

      产品

      PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360, PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515 , PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ...
      文章属性
      文章编号: 000134402
      文章类型: Solution
      上次修改时间: 22 8月 2025
      版本:  8
      从其他戴尔用户那里查找问题的答案
      支持服务
      检查您的设备是否在支持服务涵盖的范围内。