Las usługi Active Directory o tej samej nazwie co główna strefa DNS i przeglądanie witryny o tej samej nazwie

11

Powiązane z moim poprzednim pytaniem, dlaczego używanie nazwy domeny głównej jako nazwy lasu usługi Active Directory jest złym pomysłem ...

Mam pracodawcę, którego będę określać jako ITclulessinc, w celu uproszczenia (i uczciwości). Ten pracodawca ma zewnętrznie hostowaną witrynę internetową www.ITcluelessinc.com i kilka domen Active Directory. Ponieważ wiele lat temu nie mieli pojęcia o IT, założyli las o nazwie Active Directory ITcluelessinc.prvi dokonali przeciwko nim nieopisanych okrucieństw. Te niewypowiedziane okrucieństwa w końcu ich dopadły, a gdy wszystko wokół się załamało, postanowili zapłacić komuś ogromną część pieniędzy, aby „naprawić”, w tym migrację z okropnie zniszczonego ITcluelessinc.prvlasu.

I oczywiście, ponieważ nie mieli pojęcia o IT, nie znali dobrych rad, kiedy go usłyszeli, przyjęli zalecenie nazwania swojego nowego lasu AD ITcluelessinc.com, zamiast zdrowych rad, które otrzymali, i zaczęli na nim umieszczać różne rzeczy. Szybko do przodu kilka godzin temu, a firma ma większość swoich rzeczy dołączonych do starego ITcluelessinc.prvlasu Active Directory i korzystających z niego , z dużą ilością nowszych rzeczy dołączonych i / lub korzystających z ITcluelessinc.comlasu. Aby ta współpraca działała względnie bezproblemowo, użyłem warunkowych usług przesyłania dalej w DNS do wysyłania ITcluelessinc.comruchu do ITcluelessinc.prvi na odwrót.

wprowadź opis zdjęcia tutaj

( Domeny corp.ITcluelessinc.comi eval.ITcluelessinc.comsą odpowiednio nazwanymi domenami, do których przyszedłem i skonfigurowałem później, i nie są jeszcze istotne).

Wrócił do niej kilka godzin temu, a nietechniczny pracownik ITcluelessinc zauważył, że nie może przeglądać strony www.ITcluelessinc.com ze swojej stacji roboczej (w sieci korporacyjnej ITcluelessinc) i zdecydował, że jest to problem, więc skontaktowała się Pracownik VIP ITcluelessinc, który decyduje o tym, musi zostać rozwiązany w większości Ricky-tick. Zwykle nie jest to wielka sprawa, dodaj rekord A dla wwwstrefy DNS dla ITcluelessinc.comi możesz przeglądać stronę, o ile nie spróbujesz odsłonić linku.

wprowadź opis zdjęcia tutaj

Wygląda na to, że wszystko jest skonfigurowane poprawnie. Forwardery, wwwwpis hosta w DNS, a jednak klienci używający ITcluelessinc.prvkontrolera domeny jako serwerów DNS dostają limit czasu połączenia podczas próby przeglądania www.ITcluelessinc.com , zamiast strony internetowej, którą otrzymuję z mojej sieci domowej.

Czy ktoś ma jakieś przemyślenia na temat tego, w jaki sposób mogę pozwolić wewnętrznym klientom ITcluelessinc.prvdomeny przeglądać witrynę www.ITcluelessinc.com , biorąc pod uwagę obecność ITcluelessinc.comlasu usługi Active Directory i wymaganych warunkowych usług przesyłania dalej? Czy też ktoś inny jest przekonany, że jedynym sposobem, aby to zadziałało, jest pozbycie się ITcluelessinc.comlasu usługi Active Directory?

Wygląda na to, że konfiguracja, którą mam teraz, powinna działać, ale najwyraźniej tak nie jest, i nie mam pojęcia, gdzie kupiłbym środowisko testowe, w którym miałbym do czynienia z eksperymentami. I za to, co jest warte, nieco grzecznie zasugerowałem, że jedynym sposobem, aby to naprawić, jest migracja do prawidłowo nazwanych lasów, które utworzyłem, a jeśli to nie jest wystarczająco dobra odpowiedź, planuj hostowanie kopii lustrzanej witryny na wszystkich nasze ITcluelessinc.comkontrolery domeny, dopóki wszystko nie zepsuje .

domain-name-system active-directory Beznadziejny
źródło
1
To powinno działać - odzwierciedla konfigurację, którą miałem przy starej pracy (tak zła domena do wykorzystania w twoim lesie, masz moją sympatię), pomniejszoną o dwie przestrzenie nazw i forwardery. Czy systemy klienckie otrzymują odpowiedź DNS NXDomain próbującą rozwiązać wwwnazwę, czy też otrzymują niepoprawny adres? Lub alternatywnie, czy otrzymują właściwy adres, ale nie mogą się połączyć z tym adresem (czy witryna jest hostowana na serwerach w sieci, powodując problem NAT z serpentyną)?
Shane Madden,
1
@ShaneMadden: Moje myśli dokładnie i omówione w prywatnej rozmowie. Powinno działać, ale nie działa i nie mam pojęcia, dlaczego nie. Jedyną inną rzeczą, którą zasugerowałbym w tym momencie, byłoby uruchomienie przechwytywania pakietów na kliencie .prv i sprawdzenie, co się dzieje, gdy próbują przeglądać strony www.
joeqwerty
@ShaneMadden Wydaje się, że uzyskują właściwy adres za pomocą nslookup, i nie powinien być zaangażowany żaden NAT typu spinka do włosów, ponieważ strona jest hostowana zewnętrznie. (Klient -> .prv DC -> .com DC -> firewall -> interwebs). Widziałem tę pracę wcześniej, gdy maszyny w domenie rootdnsname próbowały uzyskać dostęp do rootdnsname, ale jeszcze nie widziałem klientów przyłączonych do innej domeny, która musi uzyskać dostęp do witryny rootdnsname i rootdnsname. ... Więc myślę, że taki powinien być problem.
HopelessN00b
1
Zgadzam się z Evanem. W połowie drogi i pracując dla innej firmy, która zaangażowała się w bzdury dzielące mózg, jedną sztuczką, o której warto wspomnieć, jest to, że możesz nakłonić publiczne serwery DNS do kontrolowania rekordu (lub poddomeny) poprzez wstawienie NSrekordów. Pod warunkiem, że zapora ogniowa zezwala na komunikację z kontrolerów domeny z zewnętrznym serwerem DNS, łagodzi to nieco koszmar, a publicznymi rekordami można zarządzać na publicznym serwerze.
Andrew B,
@AndrewB Prawdziwa historia, ITcluelessinc zlecił swój DNS zewnętrznemu dostawcy, ale nie wie, który z nich, i nie może go rozgryźć, dlatego nie ma żadnych sztuczek NS na zewnętrznych serwerach nazw. Ale będę o tym pamiętać za $ next_job, dzięki.
HopelessN00b,

Odpowiedzi:

8

Jeśli klienci poprawnie rozwiązują nazwę hosta, oznacza to, że masz inny problem. DNS jest wyłączony z obrazu po rozstrzygnięciu nazwy hosta przez klienta.

Kilka rzeczy do przemyślenia:

  • Czy klienci używają jakiegokolwiek proxy HTTP do uzyskania dostępu do Internetu? Czy serwer proxy ma dostępne prawidłowe informacje DNS?

  • Jak wygląda pamięć podręczna DNS na kliencie po nieudanej próbie dostępu? Czy widzisz odpowiedni adres IP, który jest buforowany dla nazwy hosta?

  • Co tak naprawdę dzieje się na kliencie? Czy widzisz połączenie zablokowane w stanie SYN_SENT z poprawnym adresem IP serwera, portem TCP 80?

  • Czy istnieją jakieś reguły zapory ogniowej, które mogą odnosić się do blokowania dostępu do adresu witryny?

Pachnie to problemem zapory / proxy / pamięci podręcznej / filtra, a nie problemem DNS.

Niestety nie mogę powiedzieć nic naprawdę przekonującego o pozbyciu się źle nazwanej domeny Active Directory. Szkoda, że ​​wybrali tę trasę, ale technicznie może to zadziałać. (Nienawidzę też tego rodzaju złej praktyki nazywania ... wierzę, że „niegodziwy” to sposób, w jaki o nim mówiłem w przeszłości … Żałuję, że nie mam dobrych rad, aby przekazać ci argument dotyczący zmiany nazwy domeny ...)

Evan Anderson
źródło
1
If the clients are resolving the hostname properly then you've got another problem. Cholera. Jeśli tak jest, to prawdopodobnie nasza asstastyczna webproxia. Byłem znacznie szczęśliwszy, kiedy myślałem, że może to nie być technicznie możliwe do rozwiązania, i będą musieli w końcu naprawić swój bałagan $ # @ ^% ing. :(
HopelessN00b
2
Przetestuj na serwerze lub komputerze wewnętrznym, który omija dowolny webproxy itp., I przetestuj ponownie. Jak powiedzieli Evan i Shane, jest to zdecydowanie wykonalne dzięki płycie www. To, co nie jest wykonalne, to po prostu domyślny zapis, taki jak itcluessinc.com, który w tym przypadku jest zapisywany na stronie internetowej.
TheCleaner,
Tak, więc zgadnij, co się stanie, gdy dział IT nie zarządza stronami internetowymi i działem, który decyduje się zmienić firmy hostingowe? Zgadza się, stary wwwrekord A nie działa, sysadmin wkurza się i pogarsza marskość wątroby.
HopelessN00b,