Active Directory-Gesamtstruktur mit demselben Namen wie die DNS-Stammzone und Navigieren zu einer Site mit demselben Namen

11

Im Zusammenhang mit meiner vorherigen Frage, warum es eine schlechte Idee ist, den Stammdomänennamen als Namen Ihrer Active Directory-Gesamtstruktur zu verwenden ...

Ich habe einen Arbeitgeber, den ich aus Gründen der Einfachheit (und Ehrlichkeit) als ITcluelessinc bezeichnen werde. Dieser Arbeitgeber verfügt über eine extern gehostete Website, www.ITcluelessinc.com , und einige Active Directory-Domänen. Da sie vor vielen Jahren keine Ahnung von IT hatten, richteten sie sich in einer Active Directory-Gesamtstruktur mit dem Namen ein ITcluelessinc.prvund führten unaussprechliche Gräueltaten dagegen durch. Diese unaussprechlichen Gräueltaten holten sie schließlich ein, und als alles um sie herum zusammenbrach, beschlossen sie, jemandem einen riesigen Geldbetrag zu zahlen, um ihn zu "reparieren", einschließlich der Abwanderung aus dem schrecklich zerbrochenen ITcluelessinc.prvWald.

Und da sie keine Ahnung von IT hatten, kannten sie natürlich keine guten Ratschläge, als sie es hörten, akzeptierten die Empfehlung, ihren neuen AD-Wald zu benennen ITcluelessinc.com, anstatt der vernünftigen Ratschläge, die sie auch erhielten, und begannen, Dinge darauf zu setzen. Schneller Vorlauf vor ein paar Stunden, und wir haben ein Unternehmen, bei dem die meisten seiner Inhalte mit der alten ITcluelessinc.prvActive Directory- Gesamtstruktur verbunden sind und diese verwenden , wobei eine ganze Reihe neuerer Elemente mit der Gesamtstruktur verbunden sind und / oder diese verwenden ITcluelessinc.com. Damit dies relativ nahtlos zusammenarbeitet, habe ich bedingte Weiterleitungen in DNS verwendet, um den ITcluelessinc.comDatenverkehr an ITcluelessinc.prvund umgekehrt zu senden .

Geben Sie hier die Bildbeschreibung ein

(Die corp.ITcluelessinc.comund eval.ITcluelessinc.com-Domänen sind ordnungsgemäß benannte Domänen, die ich später eingegeben und eingerichtet habe, und sind noch nicht relevant.)

Vor einigen Stunden hat eine nicht-technische Mitarbeiterin von ITcluelessinc festgestellt, dass sie von ihrer Workstation (innerhalb des ITcluelessinc-Unternehmensnetzwerks) nicht zu www.ITcluelessinc.com navigieren kann, und festgestellt , dass dies ein Problem ist VIP-Mitarbeiter von ITcluelessinc, der dies entscheidet, muss am meisten Ricky-Tick gelöst werden. In der Regel ist dies keine große Sache. Fügen Sie einen A-Eintrag für wwwunter der DNS-Zone für hinzu ITcluelessinc.com, und Sie können die Site durchsuchen, solange Sie den nackten Link nicht ausprobieren.

Geben Sie hier die Bildbeschreibung ein

Es scheint also, als wäre alles richtig eingerichtet. Forwarder, wwwHost - Eintrag in DNS und noch Clients die Verwendung von ITcluelessinc.prvDomänencontroller als DNS - Server erhält eine Verbindung Timeout , wenn zum Durchsuchen zu versuchen www.ITcluelessinc.com , anstelle der Webseite , dass ich von meinem Heimnetzwerk zu bekommen.

Hat jemand irgendwelche Gedanken darüber, wie ich internen Clients der ITcluelessinc.prvDomain erlauben kann, www.ITcluelessinc.com zu durchsuchen , wenn die ITcluelessinc.comActive Directory- Gesamtstruktur und die erforderlichen bedingten Weiterleitungen vorhanden sind? Oder ist jemand [sonst] davon überzeugt, dass die einzige Möglichkeit, dies zum Laufen zu bringen, darin besteht, die ITcluelessinc.comActive Directory-Gesamtstruktur zu entfernen?

Es scheint, als ob das Setup, das ich jetzt habe, funktionieren sollte , aber es ist eindeutig nicht so, und ich habe keine Ahnung, wo ich eine Testumgebung beschaffen würde, mit der ich experimentieren kann. Und für das, was es wert ist, habe ich höflich vorgeschlagen, dass die einzige Möglichkeit, dies zu beheben, darin besteht, in die von mir eingerichteten Wälder mit dem richtigen Namen zu migrieren. Wenn dies keine ausreichend gute Antwort ist, planen Sie, einen Spiegel der Website auf allen zu hosten unsere ITcluelessinc.comDomain-Controller, bis das alles kaputt macht .

domain-name-system  active-directory 
HopelessN00b
quelle
1
Das sollte funktionieren - es spiegelt das Setup wider, das ich bei einem alten Job hatte (eine so schlechte Domäne für Ihre Gesamtstruktur, Sie haben mein Mitgefühl), abzüglich der beiden Namespaces und Weiterleitungen. Erhalten die Client-Systeme eine NXDomain-DNS-Antwort, um den wwwNamen aufzulösen , oder erhalten sie eine falsche Adresse? Oder erhalten sie alternativ die richtige Adresse, können jedoch keine Verbindung zu dieser Adresse herstellen (wird die Website auf Servern im Netzwerk gehostet, was zu einem Haarnadel-NAT-Problem führt)?
Shane Madden
1
@ ShaneMadden: Meine Gedanken genau und in einem privaten Gespräch diskutiert. Es sollte funktionieren, tut es aber nicht, und ich weiß nicht, warum nicht. Das einzige andere, was ich an dieser Stelle vorschlagen würde, wäre, eine Paketerfassung auf einem PRV-Client zu starten und zu sehen, was passiert, wenn sie versuchen, nach www zu suchen.
Joeqwerty
@ShaneMadden Sie scheinen mit einem nslookup die richtige Adresse zu erhalten, und es sollte kein Haarnadel-NAT beteiligt sein, da die Website extern gehostet wird. (Client -> .prv DC -> .com DC -> Firewall -> Interwebs). Ich habe diese Arbeit schon einmal gesehen, als die Computer in der Domäne "rootdnsname" versuchten, auf den Stamm "rootdnsname" zuzugreifen, aber noch keine Clients zu einer anderen Domäne hinzugefügt wurden, die auf die Website "rootdnsname" und "rootdnsname" zugreifen müssen. ... So denke ich, dass das Problem sein muss.
HopelessN00b
1
Ich stimme Evan zu. Auf halbem Weg verwandt und nachdem Sie für ein anderes Unternehmen gearbeitet haben, das sich mit Split-Brain-Unsinn beschäftigt hat, besteht ein erwähnenswerter Trick darin, dass Sie Ihre öffentlich zugänglichen DNS-Server dazu bringen können, einen Datensatz (oder eine Subdomain) durch Einfügen von NSDatensätzen zu steuern . Vorausgesetzt, die Firewall ermöglicht die Kommunikation von den Domänencontrollern zum extern zugewandten DNS-Server, wird der Albtraum etwas gemildert und die öffentlich zugänglichen Datensätze können auf dem öffentlich zugänglichen Server verwaltet werden.
Andrew B
@AndrewB Wahre Geschichte, ITcluelessinc hat sein DNS an einen externen Anbieter ausgelagert, weiß aber nicht, welcher und kann es nicht herausfinden, daher keine NS-Tricks auf den externen Nameservern. Aber ich werde das für $ next_job im Hinterkopf behalten, danke.
HopelessN00b

Antworten:

8

Wenn die Clients den Hostnamen ordnungsgemäß auflösen, liegt ein anderes Problem vor. DNS ist nicht mehr im Bild, sobald der Hostname vom Client aufgelöst wurde.

Einige Dinge, über die man nachdenken sollte:

  • Verwenden Clients einen HTTP-Proxy, um auf das Internet zuzugreifen? Verfügt der Proxy über die richtigen DNS-Informationen?

  • Wie sieht der DNS-Cache auf dem Client nach einem fehlgeschlagenen Zugriffsversuch aus? Wird die richtige IP-Adresse für den Hostnamen zwischengespeichert?

  • Was passiert eigentlich auf dem Client? Wird eine Verbindung im Status SYN_SENT zur richtigen Server-IP-Adresse, TCP-Port 80, angezeigt?

  • Gibt es Firewall-Regeln, die sich auf das Sperren des Zugriffs auf die Adresse der Website beziehen könnten?

Dies riecht nach einem Firewall- / Proxy- / Cache- / Filterproblem, nicht nach einem DNS-Problem.

Leider kann ich nichts wirklich Überzeugendes über die Beseitigung der schlecht benannten Active Directory-Domäne sagen. Es ist bedauerlich, dass sie sich für diese Route entschieden haben, aber technisch kann dies funktionieren. (Ich hasse diese Art von schlechter Benennungspraxis auch ... "gemein", glaube ich, habe ich in der Vergangenheit darauf hingewiesen ... Ich wünschte, ich hätte einen guten Rat, um ein Argument zur Umbenennung von Domains an Sie weiterzuleiten ...)

Evan Anderson
quelle
1
If the clients are resolving the hostname properly then you've got another problem. Teufel noch mal. Wenn das der Fall ist, ist es wahrscheinlich unser asstastischer Webproxy. Ich war viel glücklicher, als ich dachte, es könnte technisch nicht lösbar sein, und sie müssten endlich ihr $ # @ ^% ing-Chaos schon beheben. :(
HopelessN00b
2
Testen Sie mit einem Server oder internen Computer, der Webproxy usw. umgeht, und testen Sie erneut. Wie Evan und Shane sagten, ist es definitiv machbar mit einer WWW-Platte. Was nicht machbar ist, ist nur ein Standarddatensatz wie itcluessinc.com, der in diesem Fall auf der Website aufgelöst wird.
TheCleaner
Ja, raten Sie mal, was passiert, wenn die IT die Websites und die Abteilung, die sich für einen Wechsel der Hosting-Unternehmen entscheidet, nicht verwaltet? Das stimmt, die alte wwwA-Aufzeichnung funktioniert nicht, der Systemadministrator ist sauer und verschlimmert seine Zirrhose.
HopelessN00b
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.