Im Zusammenhang mit meiner vorherigen Frage, warum es eine schlechte Idee ist, den Stammdomänennamen als Namen Ihrer Active Directory-Gesamtstruktur zu verwenden ...
Ich habe einen Arbeitgeber, den ich aus Gründen der Einfachheit (und Ehrlichkeit) als ITcluelessinc bezeichnen werde. Dieser Arbeitgeber verfügt über eine extern gehostete Website, www.ITcluelessinc.com , und einige Active Directory-Domänen. Da sie vor vielen Jahren keine Ahnung von IT hatten, richteten sie sich in einer Active Directory-Gesamtstruktur mit dem Namen ein ITcluelessinc.prvund führten unaussprechliche Gräueltaten dagegen durch. Diese unaussprechlichen Gräueltaten holten sie schließlich ein, und als alles um sie herum zusammenbrach, beschlossen sie, jemandem einen riesigen Geldbetrag zu zahlen, um ihn zu "reparieren", einschließlich der Abwanderung aus dem schrecklich zerbrochenen ITcluelessinc.prvWald.
Und da sie keine Ahnung von IT hatten, kannten sie natürlich keine guten Ratschläge, als sie es hörten, akzeptierten die Empfehlung, ihren neuen AD-Wald zu benennen ITcluelessinc.com, anstatt der vernünftigen Ratschläge, die sie auch erhielten, und begannen, Dinge darauf zu setzen. Schneller Vorlauf vor ein paar Stunden, und wir haben ein Unternehmen, bei dem die meisten seiner Inhalte mit der alten ITcluelessinc.prvActive Directory- Gesamtstruktur verbunden sind und diese verwenden , wobei eine ganze Reihe neuerer Elemente mit der Gesamtstruktur verbunden sind und / oder diese verwenden ITcluelessinc.com. Damit dies relativ nahtlos zusammenarbeitet, habe ich bedingte Weiterleitungen in DNS verwendet, um den ITcluelessinc.comDatenverkehr an ITcluelessinc.prvund umgekehrt zu senden .
(Die corp.ITcluelessinc.comund eval.ITcluelessinc.com-Domänen sind ordnungsgemäß benannte Domänen, die ich später eingegeben und eingerichtet habe, und sind noch nicht relevant.)
Vor einigen Stunden hat eine nicht-technische Mitarbeiterin von ITcluelessinc festgestellt, dass sie von ihrer Workstation (innerhalb des ITcluelessinc-Unternehmensnetzwerks) nicht zu www.ITcluelessinc.com navigieren kann, und festgestellt , dass dies ein Problem ist VIP-Mitarbeiter von ITcluelessinc, der dies entscheidet, muss am meisten Ricky-Tick gelöst werden. In der Regel ist dies keine große Sache. Fügen Sie einen A-Eintrag für wwwunter der DNS-Zone für hinzu ITcluelessinc.com, und Sie können die Site durchsuchen, solange Sie den nackten Link nicht ausprobieren.
Es scheint also, als wäre alles richtig eingerichtet. Forwarder, wwwHost - Eintrag in DNS und noch Clients die Verwendung von ITcluelessinc.prvDomänencontroller als DNS - Server erhält eine Verbindung Timeout , wenn zum Durchsuchen zu versuchen www.ITcluelessinc.com , anstelle der Webseite , dass ich von meinem Heimnetzwerk zu bekommen.
Hat jemand irgendwelche Gedanken darüber, wie ich internen Clients der ITcluelessinc.prvDomain erlauben kann, www.ITcluelessinc.com zu durchsuchen , wenn die ITcluelessinc.comActive Directory- Gesamtstruktur und die erforderlichen bedingten Weiterleitungen vorhanden sind? Oder ist jemand [sonst] davon überzeugt, dass die einzige Möglichkeit, dies zum Laufen zu bringen, darin besteht, die ITcluelessinc.comActive Directory-Gesamtstruktur zu entfernen?
Es scheint, als ob das Setup, das ich jetzt habe, funktionieren sollte , aber es ist eindeutig nicht so, und ich habe keine Ahnung, wo ich eine Testumgebung beschaffen würde, mit der ich experimentieren kann. Und für das, was es wert ist, habe ich höflich vorgeschlagen, dass die einzige Möglichkeit, dies zu beheben, darin besteht, in die von mir eingerichteten Wälder mit dem richtigen Namen zu migrieren. Wenn dies keine ausreichend gute Antwort ist, planen Sie, einen Spiegel der Website auf allen zu hosten unsere ITcluelessinc.comDomain-Controller, bis das alles kaputt macht .
quelle
wwwNamen aufzulösen , oder erhalten sie eine falsche Adresse? Oder erhalten sie alternativ die richtige Adresse, können jedoch keine Verbindung zu dieser Adresse herstellen (wird die Website auf Servern im Netzwerk gehostet, was zu einem Haarnadel-NAT-Problem führt)?NSDatensätzen zu steuern . Vorausgesetzt, die Firewall ermöglicht die Kommunikation von den Domänencontrollern zum extern zugewandten DNS-Server, wird der Albtraum etwas gemildert und die öffentlich zugänglichen Datensätze können auf dem öffentlich zugänglichen Server verwaltet werden.Antworten:
Wenn die Clients den Hostnamen ordnungsgemäß auflösen, liegt ein anderes Problem vor. DNS ist nicht mehr im Bild, sobald der Hostname vom Client aufgelöst wurde.
Einige Dinge, über die man nachdenken sollte:
Verwenden Clients einen HTTP-Proxy, um auf das Internet zuzugreifen? Verfügt der Proxy über die richtigen DNS-Informationen?
Wie sieht der DNS-Cache auf dem Client nach einem fehlgeschlagenen Zugriffsversuch aus? Wird die richtige IP-Adresse für den Hostnamen zwischengespeichert?
Was passiert eigentlich auf dem Client? Wird eine Verbindung im Status SYN_SENT zur richtigen Server-IP-Adresse, TCP-Port 80, angezeigt?
Gibt es Firewall-Regeln, die sich auf das Sperren des Zugriffs auf die Adresse der Website beziehen könnten?
Dies riecht nach einem Firewall- / Proxy- / Cache- / Filterproblem, nicht nach einem DNS-Problem.
Leider kann ich nichts wirklich Überzeugendes über die Beseitigung der schlecht benannten Active Directory-Domäne sagen. Es ist bedauerlich, dass sie sich für diese Route entschieden haben, aber technisch kann dies funktionieren. (Ich hasse diese Art von schlechter Benennungspraxis auch ... "gemein", glaube ich, habe ich in der Vergangenheit darauf hingewiesen ... Ich wünschte, ich hätte einen guten Rat, um ein Argument zur Umbenennung von Domains an Sie weiterzuleiten ...)
quelle
If the clients are resolving the hostname properly then you've got another problem.Teufel noch mal. Wenn das der Fall ist, ist es wahrscheinlich unser asstastischer Webproxy. Ich war viel glücklicher, als ich dachte, es könnte technisch nicht lösbar sein, und sie müssten endlich ihr $ # @ ^% ing-Chaos schon beheben. :(wwwA-Aufzeichnung funktioniert nicht, der Systemadministrator ist sauer und verschlimmert seine Zirrhose.