与我之前的问题相关关于为什么使用根域名作为 Active Directory 林的名称不是一个好主意……
我有一位雇主,为了简单(和诚实)起见,我将他称为 ITcluelessinc。这位雇主有一个外部托管的网站,www.ITcluelessinc.com以及一些 Active Directory 域。由于对 IT 一无所知,许多年前,他们在一个名为 的 Active Directory 林中建立了自己的账户ITcluelessinc.prv
,并对其实施了无法形容的暴行。这些无法形容的暴行最终让他们自食恶果,随着他们周围的一切都崩溃了,他们决定付钱给某人“修复它”,其中包括迁移出严重损坏的林ITcluelessinc.prv
。
当然,由于对 IT 一无所知,他们听到这些建议时不知道什么是好的,他们接受了将他们的新 AD 林命名为 的建议ITcluelessinc.com
,而不是他们得到的理智建议,并开始将东西放在上面。快进到几个小时前,我们有一家公司,其大部分东西都加入并使用旧的ITcluelessinc.prv
Active Directory 林,还有相当多的新东西加入和/或使用该ITcluelessinc.com
林。为了使这一切相对无缝地协同工作,我在 DNS 中使用了条件转发器将ITcluelessinc.com
流量发送到ITcluelessinc.prv
,反之亦然。
(corp.ITcluelessinc.com
和eval.ITcluelessinc.com
域是我后来进入并设置的正确命名的域,目前还不相关。)
回到几个小时前,ITcluelessinc 的一名非技术员工注意到她无法浏览www.ITcluelessinc.com从她的工作站(在 ITcluelessinc 公司网络内)查看,并确定这是一个问题,因此她联系了 ITcluelessinc 的 VIP 员工,后者决定必须尽快解决这个问题。通常,这不是什么大问题,在www
DNS 区域下添加 A 记录ITcluelessinc.com
,您就可以浏览该网站,只要您不尝试裸链接即可。
因此,一切似乎都设置正确。转发器、www
DNS 中的主机条目以及使用ITcluelessinc.prv
域控制器作为 DNS 服务器的客户端在尝试浏览时都会出现连接超时www.ITcluelessinc.com,而不是我从家庭网络获取的网页。
有人知道如何允许ITcluelessinc.prv
域内的内部客户端浏览www.ITcluelessinc.com考虑到 Active Directory 林的存在ITcluelessinc.com
及其所需的条件转发器,是否还有其他人相信,让其正常工作的唯一方法是摆脱ITcluelessinc.com
Active Directory 林?
确实如此似乎就像我现在的设置应该工作,但显然不行,我不知道在哪里可以找到这么乱的测试环境来进行实验。不管怎么说,我礼貌地建议,解决这个问题的唯一方法是迁移到我设置的正确命名的森林,如果这个答案不够好,计划在我们所有的ITcluelessinc.com
域控制器上托管网站的镜像,直到它崩溃一切。
答案1
如果客户端正确解析主机名,那么您会遇到另一个问题。一旦客户端解析了主机名,DNS 就不再起作用了。
需要考虑的一些事情:
客户端是否使用任何类型的 HTTP 代理来访问 Internet?代理是否具有正确的 DNS 信息?
访问尝试失败后,客户端上的 DNS 缓存是什么样子的?您是否看到了主机名缓存的正确 IP 地址?
客户端上到底发生了什么?您是否看到与正确的服务器 IP 地址、TCP 端口 80 的连接卡在 SYN_SENT 状态?
是否存在与阻止访问该网站地址有关的防火墙规则?
这看起来像是防火墙/代理/缓存/过滤器问题,而不是 DNS 问题。
不幸的是,对于摆脱这个名字糟糕的 Active Directory 域,我没有什么真正令人信服的说法。他们选择这样做很不幸,但从技术上讲,这能工作。(我也讨厌这种糟糕的命名习惯……我相信,我过去曾用“卑鄙”来形容它...希望我有一些好的建议来将域名重命名参数转发给您......)