Hutan Direktori Aktif dengan nama yang sama dengan root DNS zone dan menjelajah ke situs dengan nama yang sama

11

Terkait dengan pertanyaan saya sebelumnya tentang mengapa ide buruk untuk menggunakan nama domain root sebagai nama hutan Direktori Aktif Anda ...

Saya memiliki seorang majikan, yang saya sebut ITcluelessinc, untuk tujuan kesederhanaan (dan kejujuran). Majikan ini memiliki situs web yang dihosting secara eksternal, www.ITcluelessinc.com , dan beberapa domain Direktori Aktif. Karena tidak tahu apa-apa tentang IT, bertahun-tahun yang lalu, mereka menempatkan diri mereka di hutan Active Directory bernama ITcluelessinc.prv, dan melakukan kekejaman yang tak terkatakan terhadapnya. Kekejaman yang tak terkatakan ini akhirnya menyusul mereka, dan dengan segala yang runtuh di sekitar mereka, mereka memutuskan untuk membayar seseorang sejumlah besar uang untuk "memperbaikinya," yang termasuk bermigrasi dari ITcluelessinc.prvhutan yang rusak parah.

Dan tentu saja, karena tidak tahu apa-apa tentang IT, mereka tidak tahu saran yang bagus ketika mereka mendengarnya, menerima rekomendasi untuk menamai hutan AD baru mereka ITcluelessinc.com, alih-alih saran waras yang mereka dapatkan, dan mulai meletakkan barang-barang di situ. Maju cepat ke beberapa jam yang lalu, dan kami memiliki perusahaan dengan sebagian besar barangnya bergabung dan menggunakan ITcluelessinc.prvhutan Active Directory lama , dengan jumlah yang cukup banyak dari barang baru yang bergabung dan / atau menggunakan ITcluelessinc.comhutan. Untuk membuat ini bekerja bersama secara relatif mulus, saya telah menggunakan forwarder bersyarat dalam DNS untuk mengirim ITcluelessinc.comlalu lintas ke ITcluelessinc.prv, dan sebaliknya.

masukkan deskripsi gambar di sini

( Domain corp.ITcluelessinc.comdan eval.ITcluelessinc.comdiberi nama dengan benar domain yang saya datangi dan atur nanti, dan belum relevan.)

Kembali ke beberapa jam yang lalu, dan seorang karyawan non-teknis dari ITcluelessinc telah memperhatikan bahwa ia tidak dapat menjelajah ke www.ITcluelessinc.com dari stasiun kerjanya (di dalam jaringan perusahaan ITcluelessinc) dan memutuskan bahwa ini adalah masalah, jadi ia menghubungi Karyawan VIP dari ITcluelessinc, yang memutuskan ini harus diselesaikan dengan paling cepat. Biasanya, bukan masalah besar, tambahkan catatan A di wwwbawah zona DNS untuk ITcluelessinc.com, dan Anda dapat menelusuri situs, selama Anda tidak mencoba tautan telanjang.

masukkan deskripsi gambar di sini

Jadi, sepertinya semuanya sudah diatur dengan benar. Forwarder, wwwentri host dalam DNS, namun, klien yang menggunakan ITcluelessinc.prvpengontrol domain karena server DNS mendapatkan batas waktu koneksi ketika mencoba menjelajah ke www.ITcluelessinc.com , bukannya halaman web yang saya dapatkan dari jaringan rumah saya.

Adakah yang memiliki pemikiran tentang bagaimana saya dapat mengizinkan klien internal ITcluelessinc.prvdomain untuk menelusuri www.ITcluelessinc.com , mengingat keberadaan ITcluelessinc.comhutan Direktori Aktif dan forwarder bersyarat yang diperlukan? Atau, secara bergantian, apakah ada orang lain yang yakin bahwa satu-satunya cara untuk membuatnya bekerja adalah dengan menyingkirkan ITcluelessinc.comhutan Direktori Aktif?

Itu tampak seperti setup yang saya miliki sekarang harus bekerja, tapi itu jelas tidak, dan saya tidak tahu di mana saya akan mendapatkan sebuah lingkungan pengujian ini kacau untuk bereksperimen dengan. Dan untuk apa nilainya, saya agak dengan sopan menyarankan bahwa satu-satunya cara untuk memperbaikinya adalah bermigrasi ke hutan yang dinamai dengan benar yang saya buat, dan ketika itu bukan jawaban yang cukup baik, rencanakan untuk meng-host cermin situs web pada semua ITcluelessinc.compengontrol domain kami sampai semuanya rusak .

domain-name-system active-directory HopelessN00b
sumber
1
Itu harus bekerja - itu mencerminkan setup yang saya miliki di pekerjaan lama (domain yang buruk untuk digunakan untuk hutan Anda, Anda memiliki simpati saya), minus dua ruang nama dan forwarder. Apakah sistem klien mendapatkan respons NXDomain DNS yang mencoba menyelesaikan wwwnama, atau apakah mereka mendapatkan alamat yang salah? Atau, secara bergantian, apakah mereka mendapatkan alamat yang benar tetapi tidak dapat terhubung ke alamat itu (apakah situs web di-host pada server di dalam jaringan, menyebabkan masalah NAT jepit rambut)?
Shane Madden
1
@ShaneMadden: Pikiranku persis dan dibahas dalam percakapan pribadi. Ini seharusnya bekerja, tetapi tidak, dan saya tidak mengerti mengapa tidak. Satu-satunya hal lain yang saya sarankan pada saat ini adalah menjalankan tangkapan paket pada klien .prv dan melihat apa yang terjadi ketika mereka mencoba menelusuri www.
joeqwerty
@ShaneMadden Mereka sepertinya mendapatkan alamat yang benar dengan nslookup, dan seharusnya tidak ada hairpin NAT yang terlibat, karena situs web di-host secara eksternal. (Klien -> .prv DC -> .com DC -> firewall -> interwebs). Saya telah melihat pekerjaan ini sebelumnya ketika mesin-mesin pada domain rootdnsname sedang mencoba mengakses rootdnsname, tetapi belum melihat klien bergabung dengan domain yang berbeda yang perlu mengakses situs web rootdnsname dan rootdnsname. ... Jadi, itulah yang kupikirkan masalahnya.
HopelessN00b
1
Saya setuju dengan Evan. Setengah jalan terkait, dan pernah bekerja untuk perusahaan lain yang terlibat dalam split brain nonsense, satu trik yang layak disebutkan adalah bahwa Anda bisa membuat publik Anda menghadapi server DNS untuk mengontrol catatan (atau subdomain) dengan memasukkan NScatatan. Asalkan firewall mengizinkan komunikasi dari DC ke server DNS yang menghadap eksternal, ini agak mengurangi mimpi buruk dan catatan yang menghadap publik dapat dikelola pada server yang menghadap publik.
Andrew B
@AndrewB Kisah nyata, ITcluelessinc telah mengalihdayakan DNS-nya ke vendor eksternal, tetapi tidak tahu yang mana, dan tidak bisa mengetahuinya, karenanya tidak ada trik NS pada nameserver eksternal. Tapi saya akan mengingatnya untuk $ next_job, terima kasih.
HopelessN00b

Jawaban:

8

Jika klien menyelesaikan nama host dengan benar maka Anda punya masalah lain. DNS keluar dari gambar setelah nama host diselesaikan oleh klien.

Beberapa hal untuk dipikirkan:

  • Apakah klien menggunakan segala jenis proxy HTTP untuk mengakses Internet? Apakah proksi memiliki informasi DNS yang benar tersedia?

  • Seperti apa cache DNS pada klien setelah upaya akses gagal? Apakah Anda melihat alamat IP yang tepat di-cache untuk nama host?

  • Apa yang sebenarnya terjadi pada klien? Apakah Anda melihat koneksi macet dalam status SYN_SENT ke alamat IP server yang benar, port TCP 80?

  • Apakah ada aturan firewall yang mungkin terkait dengan memblokir akses ke alamat situs web?

Baunya seperti masalah firewall / proxy / cache / filter, bukan masalah DNS.

Sayangnya, tidak ada yang benar-benar menarik yang bisa saya katakan tentang menyingkirkan domain Active Directory yang bernama buruk. Sangat disayangkan bahwa mereka memilih untuk melakukan rute itu, tetapi secara teknis ini bisa berhasil. (Saya benci praktik penamaan buruk semacam ini, juga ... "keji", saya percaya, adalah bagaimana saya merujuknya di masa lalu ... Seandainya saya punya saran yang bagus untuk meneruskan argumen ganti nama domain kepada Anda ...)

Evan Anderson
sumber
1
If the clients are resolving the hostname properly then you've got another problem. Sialan. Jika itu masalahnya, mungkin webproxy asstastik kami. Saya jauh lebih bahagia ketika saya pikir itu mungkin tidak dapat diselesaikan secara teknis, dan mereka akhirnya harus memperbaiki kekacauan $ # @ ^% mereka. :(
HopelessN00b
2
Uji dengan server atau komputer internal yang mem-bypass proxy web apa pun, dll. Dan uji lagi. Seperti yang Evan dan Shane katakan, itu pasti bisa dilakukan dengan catatan www. Apa yang tidak bisa dilakukan hanyalah catatan default seperti itcluessinc.com yang menyelesaikan situs web dalam contoh ini.
TheCleaner
Ya, jadi tebak apa yang terjadi ketika TI tidak mengelola situs web dan departemen yang memutuskan untuk berganti perusahaan hosting? Itu benar, wwwcatatan A lama tidak bekerja, sysadmin marah dan memperburuk sirosis nya.
HopelessN00b