Web tarayıcısında DNS çözünürlüğü başarısız oluyor ancak nslookup başarılı

Karma bir BYOD ve Active Directory ortamına (Windows Server 2012 Standard, Windows 7 Enterprise) sahip küçük, 300 kişilik bir kuruluşuz ve kuruluşumuzun alan adını alan adımızda çözmek için çok özel kapsam hatalarını içeren çok garip bir sorun yaşıyoruz birleşik, şirket kontrollü makineler. Bu tartışmanın amacı için alan adımız yerine company.com kullanacağım .

Arka fon:

Active Directory Etki Alanı Denetleyicisi 172.16.1.3 konumunda bulunuyor
AD / DC makinesi ayrıca DHCP, DNS ve HTTP (IIS) çalıştırıyor
Company.com ve subdomain.company.com adresindeki kuruluşlarımızın web siteleri , AD / DC makinesinde IIS tarafından barındırılmaktadır.
AD / DC sunucusunun dahili DNS çözümü için kullanıldığı, ancak farklı bir site dışı sunucunun genel sorgular için DNS çözümü sağladığı bölünmüş DNS senaryomuz var
Company.com ve subdomain.company.com'a karşılık gelen IP adresi, ağımızın kenarında bir güvenlik duvarı tarafından kullanılan genel IP adresidir (hem AD / DC DNS sunucusunda hem de site dışı DNS sunucusunda)
Güvenlik duvarı, NAT'ın genel IP adresinden aldığı HTTP ve HTTPS isteklerini AD / DC sunucusunun dahili IP'sine geçirmesi için doğru yapılandırılmıştır ve

Senaryo 1:

Etki alanına katılmış bir Windows 7 Enterprise makinesindeki bir kullanıcı, DHCP sunucusu tarafından verilen yerel adres 172.16.6.100 / 16 ile doğrudan yerel ağımıza bağlanır.
DNS sunucusu girişi DHCP tarafından sağlanır (172.16.1.3)
Bu kullanıcı company.com ve subdomain.company.com adreslerinde barındırılan web sitelerine erişebilir.
Düzenleme: nslookup bu senaryoda çalıştırıldı ve iç DNS sunucusundan doğru DNS kaydını döndürüyor (172.16.1.3)

Senaryo 2:

Aynı etki alanına katılmış Windows 7 Enterprise makinesindeki aynı kullanıcı eve gider ve konut ISP'lerini kullanarak İnternet'e bağlanır
İstemci makinesinin IP ve DNS sunucusu girişleri DHCP tarafından sağlanır
Bu kullanıcı google.com gibi herhangi bir internet kaynağına erişebilir
Bu kullanıcı company.com veya subdomain.company.com adresindeki web sitesine erişemiyor ("ana bilgisayar çözümlenmedi" hatası döndürülüyor)
Bu kullanıcının çalıştığı nslookup zaman company.com onlar DO DNS tarafından sağlanan doğru genel IP adresi almak
IP adresine HTTP / HTTPS istekleri başarılı olur ve bir web sayfası sunucu tarafından düzgün bir şekilde döndürülür
Bu sorun tüm web tarayıcılarında geçerli
Tracert company.com kullanıldığında "hedef sistem adı çözümlenemiyor" ifadesi döndürülür
Kullanılması ping company.com "konak company.com bulamadık" döner
Başarısız bir istek öncesinde / sırasında Wireshark'ı istemcide çalıştırırken, istemci makine tarafından hiçbir paket gönderilmez (DNS çözümlemesi veya ilk HTTP / ping / tracert isteği için)
DNS İstemcisi hizmetini yeniden başlatmak sorunu çözmez
DNS İstemcisi hizmetini durdurmak sorunu çözmez
İpconfig / flushdns kullanmak bu sorunu çözmez
Route / f kullanmak bu sorunu çözmez
Netsh int ip reset kullanarak ağ bağlantılarını sıfırlamak bu sorunu çözmez
Düzenleme: nslookup bu senaryoda çalıştırıldı ve kullanıcı tarafından kullanılan ağın DHCP ayarları tarafından belirtilen DNS sunucusundan doğru DNS kaydını döndürür

Senaryo 3:

Kişisel (etki alanına katılmayan) bir Windows 7 Professional bilgisayarındaki aynı kullanıcı, yerel ağımıza bağlandığında company.com ve subdomain.company.com adresindeki web sitelerine erişebilir.
Düzenleme: nslookup bu senaryoda çalıştırıldı ve iç DNS sunucusundan doğru DNS kaydını döndürüyor (172.16.1.3)

Senaryo 4:

Kişisel (etki alanına katılmayan) bir Windows 7 Professional bilgisayarındaki aynı kullanıcı, ev ağlarına bağlandığında company.com ve subdomain.company.com adresindeki web sitelerine erişebilir.
Düzenleme: nslookup bu senaryoda çalıştırıldı ve kullanıcı tarafından kullanılan ağın DHCP ayarları tarafından belirtilen DNS sunucusundan doğru DNS kaydını döndürür

Son Notlar:

Bu sorun şirkete ait tüm bilgisayarları etkileyecek şekilde genelleştiriliyor gibi görünüyor. Ağustos ayında yüklenen şirkete ait tüm bilgisayarlar için ortak bir sistem görüntüsü kullanıyoruz. İnterneti olası çözümler bulmak için araştırıyorum ve şimdiye kadar boş teslim oldum - Sahip olabileceğiniz herhangi bir öneri veya tavsiyeyi gerçekten takdir ediyorum.

— Dan
kaynak

Etki alanı denetleyicilerinizde web siteleri yayınlıyor musunuz? Bueno yok.

— Ryan Ries

Evet, katılıyorum. Bütçeler sıkı, ne diyebilirim. Belki gelecekte ...

— Dan

1. Etki alanına katılmış makinelerde Grup İlkesi ile herhangi bir DNS ayarı yapılandırıyor musunuz? 2. nslookup komutunu her senaryo için hata ayıklama modunda çalıştırmak muhtemelen size bazı ipuçları verecektir.

— joeqwerty

Önerin için teşekkürler. DNS, grup ilkesi değil DHCP sunucusu tarafından sağlanır, bu nedenle kullanıcı fiziksel binamızdan ayrıldığında bağlandıkları ağın DNS sunucusunu alır. Her durumda nslookup çalıştırdım ve her durumda doğru DNS ayarlarını döndürür (Senaryo 2'deki hata durumu dahil). Sorun, bazı nedenlerden dolayı web tarayıcılarının nslookup'a kadar gitmekten bile rahatsız olmamaları gibi görünüyor - yukarıda açıklandığı gibi, Senaryo 2'de herhangi bir ağ işlemi başlatmadan başarısız oluyorlar.

— Dan

Sadece erişemedikleri gibi kabul edebilirler mi, www.company.comama company.comher ikisi de başarısız olur mu?

— TheCleaner

Yanıtlar:

Etki alanına katılan bilgisayarlar, yalnızca DNS tabanlı arama yapmakla kalmaz, DC'lerini de arayacaktır. Alan adı herkese açık web sitesi ile aynı olduğundan, DC'ye nasıl gidileceğini ve alan adı bilgilerini nasıl alacağını anlatmak için bir SRV kaydı arayacaklardır. Uzak ağda DC olmadığından, normal AD farkında pencere parçalarını kullanarak bu adı çözemezler.

Ping veya (neredeyse) herhangi bir Windows uygulaması kullandığınızda, AD ile konuşan parçalar da dahil olmak üzere tam Windows IP yığınını kullanır. Oysa NSLookup aslında bir DNS sorgusu yapar. Bunu Wireshark izlerinizle doğruladınız, şirket.com'a ulaşmaya çalışırken Windows tarafından hiçbir arama yapılmıyor, ancak nslookup uygun bir DNS araması gösteriyor. Bu nedenle etki alanını ping veya web tarayıcısı ile çözemezsiniz, ancak nslookup iyidir.

Bunun ilk kısmı için çözüm, www.company.com adresini kullanarak web sitesine hem dahili hem de harici olarak ulaşmaktır, böylece müşteriler bir DC aramayı tamamen görmezden gelirler.

İkinci bölümün çözümü, subdomain.company.com'un hem dahili hem de harici olarak ne ifade ettiğine bağlı olarak daha zordur. DC'nin alt alan adı için bir DNS kaydı var mı veya bu istekler yalnızca harici DNS sunucusuna mı gönderildi? Bir DNS kaydı varsa, bu kayıt nereye işaret eder?

— RobbieCrash
kaynak

Makinedeki HOSTS dosyasını ( http://en.wikipedia.org/wiki/Hosts_%28file%29#Location_in_the_file_system ) makinede almaya çalıştığınız ana bilgisayarlar için herhangi bir girdi içermediğini kontrol ederdim . Ben NSLOOKUP aracı hosts dosyasını atlar ama web tarayıcı olmaz düşünüyorum.

Ayrıca, bazı proxy türleri de DNS'yi çözdüğü için web tarayıcısında yapılandırılmış bir proxy olmadığınızı kontrol ederim.

Ayrıca IE ("iexplore -extoff") veya Firefox (başlangıç veya "firefox -safe-mode") tuşunu basılı tutarak tarayıcıyı "güvenli modda" (yani tüm eklentiler ve eklentiler devre dışı bırakılmış olarak) çalıştırmayı deneyebilirim.

İdeal olarak, web tarayıcısı veya işletim sistemi olup olmadığını daraltmak için başka bir web tarayıcısı deneyin.

O zaman hala hiçbir yere gitmiyor olsaydım hangi servislerin ağ bağdaştırıcısına bağlı olduğunu kontrol ederdim (belirli kurallara sahip çılgın güvenlik duvarı engelliyor?)

Son olarak, bu gittikçe daha az olası hale geliyor, ancak NSLOOKUP, bilgisayarı veya bağlantıya özgü etki alanı adını sorgulara otomatik olarak ekleyecektir. Örneğin, yönlendiricim etki alanı adını "yönlendirici" olarak ayarlar, böylece "matthew" gibi herhangi bir nslookup aslında "matthew.router" için DNS'yi arar, web tarayıcısının bunu yapmaması mümkündür .. bir paket yaptığınızı söylediğiniz gibi yakalama bu sorun gibi görünmüyor .. ama sadece paket yakalama kaçırdı ya da yakalama ortamı tam olarak doğru değil :-).

Bunlar deneyeceğim şeyler ve umarım bu da size yardımcı olacaktır :-).

— Matthew1471
kaynak