Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

DNS рекомендации в среде Windows с идентичными внутренними и внешними именами доменов

Summary: В этой статье содержится информация о проблемах, которые могут возникать в среде, в которой домен Active Directory и зарегистрированное доменное имя Интернет идентичны.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

 


 

Рекомендации по проектированию домена Active Directory (AD) с использованием зарегистрированного имени домена в качестве имени домена AD. К возможным альтернативным вариантам относятся использование непубличного суффикса DNS (например,Local или . LAN, например) в имени домена Active Directory, или создание дочернего домена AD Domain a для зарегистрированного домена (например,Corp.domain.com).

Вы не всегда сможете выбирать в любом случае. возможно, вы обнаружите, что домен AD с таким же именем, как у зарегистрированного домена компании, и управление, возможно, не желаете изменять какое бы то ни было имя. Это называется сценарием разделенного DNS (или разделением DNS), в котором имеется два различных пространства имен DNS — внутреннее пространство имен, используемое службой AD, и внешнее пространство имен, используемое регистратором публичного домена с таким же именем. Этот сценарий может представлять некоторые уникальные задачи. В этой статье обсуждаются некоторые распространенные проблемы, возникающие в среде с разделением DNS и действия, которые можно выполнить для их устранения.

Во всех примерах ниже, домен Active Directory и зарегистрированный домен с именем domain.comи веб-сайт компании под названием www.domain.com.

Неполадка 1. Веб-сайт компании, размещенной извне, недоступен изнутри офиса
Это наиболее частая проблема, связанная с разделенной DNS средой: веб-сайт компании или другой ресурс, принадлежащий к Интернету, не может быть достигнут внутри офиса по компьютерам, подключенным к домену Active Directory, но на машинах, находящихся за пределами офиса, нет проблем с доступностью к веб-сайту. Это может быть показано в следующих случаях: Проверка того, что происходит, когда внутренний пользователь пытается просмотреть веб-сайт компании.

  1. Компьютер пользователя запрашивает сервер DNS домена, обычно контроллер домена (DC), для IP-адреса www.domain.com.
  2. Контроллер домена хранит зону прямого поиска под названием domain.com, поэтому она ищет в этой зоне запись хоста с именем www.
  3. На контроллере домена не обнаружена запись с именем www, а так как она является удостоверяющей для зоны domain.com , она не выполняет запрос каких-либо других серверов DNS.
  4. Контроллер домена реагирует на компьютер пользователя и говорит о том, что ему не удалось найти адрес для www.domain.com.
  5. В браузере на компьютере пользователя отображаются «невозможно отобразить страницу».
 

Эта проблема возникает из-за того, что сервер DNS с определенной зоной поиска в своей базе данных — зона domain.com в этом примере — не отправляет запросы для записей в этой зоне где-либо еще; Он просто возвращает ответ «не найден», если нет записи, соответствующей данному запросу. В этом примере имеется другой DNS сервер с правильной записью: сервер DNS, на котором размещается открытая зона domain.com , принадлежащая регистратору домена, как очевидно на тот факт, что компьютеры, находящиеся за пределами офиса, могут получить доступ к веб-сайту. Однако запросы с внутренних машин никогда не доходят до этого сервера.

Решение для этой проблемы просто: Создайте запись хоста с именем www в зоне domain.com на контроллере домена и ВЫдайте этой записи IP-адрес веб-сайта. Машины, которые запрашивают DNS сервер, получат правильный ответ и смогут просматривать веб-сайт.

Проблем 2. Внутренний размещенный общедоступный веб-сайт недоступен изнутри офиса
Это могло рассматриваться как вариант в описанной выше причине 1. Разница в этом случае заключается в том, что веб-сайт размещен на внутреннем ресурсе либо позади брандмауэра в внутренней сети компании, либо в DMZ. Он должен быть доступен как внутренним, так и внешним пользователям, но внутренние пользователи не могут получить к нему доступ, а внешние пользователи не будут сообщать о проблемах.

Причина проблемы аналогична описанной в вопросе 1, но внутренние пользователи в этом случае могут правильно разрешить имя веб-сайта в общедоступный IP-адрес. Тем не менее, они по-другому не смогут получить доступ к веб-сайту из-за способа настройки брандмауэра. Он ожидает, чтобы пользователи во внутренней сети имели доступ к веб-сайту с использованием своего частного адреса, а не его общедоступного адреса.

Опять же, существует простое исправление: создание записи хоста с именем www в зоне domain.com на контроллере домена, но на этот раз ВЫдается частный IP-адрес веб-сайта. Внутренние машины разрешают имя веб-сайта на этот частный адрес, а внешние машины по-прежнему разрешают это имя в общедоступном адресе веб-сайта.

Неполадка 3. Веб-сайт загружается не полностью или не загружается после выполнения указанных выше изменений
Это может происходить, если код веб-сайта перенаправляет браузеры с www.domain.com на domain.com или если внутренние ссылки ссылаются на площадку как domain.com , а не www.domain.com. Такие же симптомы наблюдаются на внутренних машинах, где размещается внутренний или внешний узел:

  • Веб-узел может не загружаться вообще. в этом случае браузер пользователя обычно показывает domain.com в адресной строке даже в том случае, если пользователь вводит www.domain.com в браузер.
  • Это может привести к полному загрузке площадки; возможно, части площадки не отображаются и/или не могут работать в пределах площадки.
  • В обоих случаях внешние пользователи могут получить доступ к веб-сайту без проблем.
 

Проблема, описанная в данном случае, немного сложнее. Чтобы машины могут разрешать domain.com в IP-адрес, в зоне domain.com в DNS необходимо иметь пустую запись хоста. Имя этой записи отображается как (как родительская папка) в консоли Windows DNS. Однако в этом случае существует проблема: AD использует пустые записи хостов в зоне domain.com для представления контроллеров домена domain.com . Участники домена используют эти записи при поиске контроллера домена для проверки подлинности, а также если в зоне domain.com имеются лишние записи хостов, могут возникать задержки или проблемы с проверкой подлинности.

По причине, описанной выше, эта проблема не может быть устранена только в DNS. Создание пустой записи хоста с IP-адресом веб-сайта периодически решает проблему доступа к веб-сайту для внутренних пользователей, поскольку уже имеются другие пустые записи хостов с IP-адресами контроллеров домена, и это приводит к проблемам с проверкой подлинности домена.

Самый простой способ решить эту проблему — изменить код веб-сайта, чтобы либо удалить перенаправление, либо исправить внутренние ссылки так, чтобы все элементы ссылались на площадку как www.domain.com , а не domain.com. Если изменение кода невозможно, единственным другим вариантом решения проблемы является переименование домена AD. Это может быть сложной задачей, в зависимости от размера и сложности среды.
  

Cause

См. раздел «симптом»

Resolution

См. раздел «симптом»

Affected Products

Servers
Article Properties
Article Number: 000134402
Article Type: Solution
Last Modified: 01 Nov 2023
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.