การแก้ไข DNS ล้มเหลวในเว็บเบราว์เซอร์ แต่การค้นหา ns ประสบความสำเร็จ

9

เราเป็นองค์กรขนาดเล็ก 300 ที่นั่งที่มีสภาพแวดล้อม BYOD และ Active Directory แบบผสม (Windows Server 2012 Standard, Windows 7 Enterprise) และเรามีปัญหาแปลก ๆ อย่างมากเกี่ยวกับความล้มเหลวในขอบเขตที่เฉพาะเจาะจงในการแก้ไขชื่อโดเมนขององค์กรของเราบนโดเมนของเรา - เครื่องจักรที่ควบคุมโดย บริษัท สำหรับวัตถุประสงค์ของการสนทนานี้ฉันจะใช้company.comแทนชื่อโดเมนของเรา

พื้นหลัง:

  • ตัวควบคุมโดเมนของ Active Directory อยู่ที่ 172.16.1.3
  • เครื่อง AD / DC ใช้ DHCP, DNS และ HTTP (IIS) ด้วย
  • เว็บไซต์องค์กรของเราที่company.comและsubdomain.company.comนั้นโฮสต์โดย IIS บนเครื่อง AD / DC
  • เรามีสถานการณ์ DNS แบบแยกส่วนที่เซิร์ฟเวอร์ AD / DC ใช้สำหรับการแก้ปัญหา DNS ภายใน แต่เซิร์ฟเวอร์นอกไซต์อื่นให้การแก้ไข DNS สำหรับการสืบค้นสาธารณะ
  • ที่อยู่ IP ที่สอดคล้องกับcompany.comและsubdomain.company.comเป็นที่อยู่ IP สาธารณะที่ใช้โดยไฟร์วอลล์ที่เครือข่ายของเรา (ทั้งบนเซิร์ฟเวอร์ AD / DC DNS และเซิร์ฟเวอร์ DNS นอกไซต์)
  • ไฟร์วอลล์ได้รับการกำหนดค่าอย่างถูกต้องสำหรับ NAT เพื่อส่งผ่าน HTTP และ HTTPS ที่ได้รับคำขอจากที่อยู่ IP สาธารณะไปยัง IP ภายในของเซิร์ฟเวอร์ AD / DC และสะท้อนให้เห็นถึง

สถานการณ์ที่ 1:

  • ผู้ใช้บนเครื่อง Windows 7 Enterprise ที่เชื่อมต่อกับโดเมนนั้นเชื่อมต่อโดยตรงกับเครือข่ายท้องถิ่นของเราด้วยที่อยู่ในพื้นที่ 172.16.6.100 / 16 ที่ออกโดยเซิร์ฟเวอร์ DHCP
  • รายการเซิร์ฟเวอร์ DNS นั้นจัดทำโดย DHCP (172.16.1.3)
  • ผู้ใช้รายนี้สามารถเข้าถึงเว็บไซต์ที่โฮสต์ที่ company.com และ subdomain.company.com
  • แก้ไข:มีการรัน nslookup ในสถานการณ์นี้และส่งคืนระเบียน DNS ที่เหมาะสมจากเซิร์ฟเวอร์ DNS ภายใน (172.16.1.3) อย่างถูกต้อง

สถานการณ์ที่ 2:

  • ผู้ใช้เดียวกันบนเครื่อง Windows 7 Enterprise ที่เข้าร่วมโดเมนกลับบ้านและเชื่อมต่ออินเทอร์เน็ตโดยใช้ ISP ที่อยู่อาศัย
  • รายการเซิร์ฟเวอร์ IP และ DNS สำหรับเครื่องไคลเอนต์นั้นจัดทำโดย DHCP
  • ผู้ใช้รายนี้สามารถเข้าถึงทรัพยากรอินเทอร์เน็ตใด ๆ เช่น google.com
  • ผู้ใช้รายนี้ไม่สามารถเข้าถึงเว็บไซต์ที่company.comหรือsubdomain.company.com (ข้อผิดพลาด "โฮสต์ไม่ได้รับการแก้ไข" ถูกส่งคืน)
  • เมื่อผู้ใช้นี้วิ่ง nslookup บนcompany.comพวกเขาไม่ได้รับที่อยู่ IP สาธารณะที่ถูกต้องให้โดย DNS
  • คำขอ HTTP / HTTPS ไปยังที่อยู่ IP สำเร็จและมีการส่งคืนหน้าเว็บอย่างถูกต้องจากเซิร์ฟเวอร์
  • ปัญหานี้จะมีผลกับทุกเว็บเบราว์เซอร์
  • การใช้tracert company.comส่งคืน "ไม่สามารถแก้ไขชื่อระบบเป้าหมาย"
  • ใช้ping company.comส่งคืน "ไม่พบโฮสต์ company.com"
  • เมื่อรัน Wireshark บนไคลเอ็นต์ก่อน / ระหว่างการร้องขอที่ล้มเหลวจะไม่มีการส่งแพ็กเก็ตโดยเครื่องไคลเอ็นต์ (สำหรับการแก้ปัญหา DNS หรือสำหรับคำขอ HTTP / ping / tracert เริ่มต้น)
  • การเริ่มบริการไคลเอ็นต์ DNS ไม่สามารถแก้ไขปัญหาได้
  • การหยุดบริการไคลเอ็นต์ DNS ไม่สามารถแก้ปัญหาได้
  • การใช้ipconfig / flushdnsไม่สามารถแก้ปัญหานี้ได้
  • การใช้เส้นทาง / fไม่สามารถแก้ไขปัญหานี้ได้
  • การรีเซ็ตการเชื่อมต่อเครือข่ายโดยใช้การรีเซ็ต netsh int ipไม่สามารถแก้ปัญหานี้ได้
  • แก้ไข:เรียกใช้ nslookup ในสถานการณ์นี้และส่งคืนระเบียน DNS ที่เหมาะสมจากเซิร์ฟเวอร์ DNS ที่ระบุโดยการตั้งค่า DHCP ของเครือข่ายที่ผู้ใช้ใช้งานอย่างถูกต้อง

สถานการณ์ที่ 3:

  • ผู้ใช้รายเดียวกันนี้ในคอมพิวเตอร์ Windows 7 Professional ส่วนบุคคล (ไม่ได้เข้าร่วมโดเมน) สามารถเข้าถึงเว็บไซต์ที่company.comและsubdomain.company.comเมื่อเชื่อมต่อกับเครือข่ายท้องถิ่นของเรา
  • แก้ไข:มีการรัน nslookup ในสถานการณ์นี้และส่งคืนระเบียน DNS ที่เหมาะสมจากเซิร์ฟเวอร์ DNS ภายใน (172.16.1.3) อย่างถูกต้อง

สถานการณ์ที่ 4:

  • ผู้ใช้รายเดียวกันนี้บนคอมพิวเตอร์ Windows 7 Professional ส่วนบุคคล (ไม่ใช่เข้าร่วมโดเมน) สามารถเข้าถึงเว็บไซต์ที่company.comและsubdomain.company.comเมื่อเชื่อมต่อเครือข่ายในบ้าน
  • แก้ไข:เรียกใช้ nslookup ในสถานการณ์นี้และส่งคืนระเบียน DNS ที่เหมาะสมจากเซิร์ฟเวอร์ DNS ที่ระบุโดยการตั้งค่า DHCP ของเครือข่ายที่ผู้ใช้ใช้งานอย่างถูกต้อง

หมายเหตุสุดท้าย:

ปัญหานี้ดูเหมือนจะเป็นการทั่วไปที่ส่งผลกระทบต่อคอมพิวเตอร์ของ บริษัท ทั้งหมด เรากำลังใช้อิมเมจระบบทั่วไปสำหรับคอมพิวเตอร์ทุกเครื่องที่ บริษัท เป็นเจ้าของซึ่งเพิ่งโหลดในเดือนสิงหาคม ฉันค้นหาสิ่งที่เป็นไปได้ทางอินเทอร์เน็ตและค้นหาสิ่งที่เป็นไปได้มาจนถึงตอนนี้ - ฉันขอขอบคุณข้อเสนอแนะหรือคำแนะนำที่คุณมี

domain-name-system  active-directory  windows-7  windows-server-2012 
แดน
แหล่งที่มา
2
ใช้งานเว็บไซต์บนตัวควบคุมโดเมนของคุณใช่มั้ย นั่นไม่ใช่ bueno
Ryan Ries
1
ใช่ฉันเห็นด้วย งบประมาณแน่นฉันจะพูดอะไรดี อาจจะเป็นในอนาคต ...
Dan
1. คุณกำหนดการตั้งค่า DNS ใด ๆ ในโดเมนที่เข้าร่วมเครื่องด้วยนโยบายกลุ่มหรือไม่ 2. การเรียกใช้ nslookup ในโหมดดีบักสำหรับแต่ละสถานการณ์อาจให้เบาะแสบางอย่างแก่คุณ
joeqwerty
ขอบคุณสำหรับคำแนะนำ DNS นั้นให้บริการโดยเซิร์ฟเวอร์ DHCP ไม่ใช่นโยบายกลุ่มดังนั้นเมื่อผู้ใช้ออกจากสิ่งปลูกสร้างของเราพวกเขาจะได้รับเซิร์ฟเวอร์ DNS ของเครือข่ายใดก็ตามที่พวกเขาเชื่อมต่อ ฉันใช้งาน nslookup ในทุกกรณีและจะคืนค่า DNS ที่ถูกต้องในทุกกรณี (รวมถึงกรณีความล้มเหลวในสถานการณ์ 2) ปัญหาน่าจะเป็นไปได้ว่าด้วยเหตุผลบางเว็บเบราเซอร์จะไม่แม้แต่จะไปไกลเท่าที่ nslookup - ตามที่อธิบายไว้ข้างต้นพวกเขาก็ล้มเหลวโดยไม่มีการเริ่มต้นการทำธุรกรรมใด ๆ ในเครือข่ายสถานการณ์ 2.
แดน
ฉันสามารถตั้งสมมติฐานว่าพวกเขาสามารถยอมรับมันได้www.company.comแต่ไม่ใช่company.comหรือไม่ทั้งสองล้มเหลว?
TheCleaner

คำตอบ:

1

โดเมนที่เข้าร่วมกับคอมพิวเตอร์กำลังจะมองหา DC ของพวกเขาไม่ใช่แค่ทำการค้นหาผ่าน DNS เนื่องจากโดเมนนั้นเหมือนกับเว็บไซต์สาธารณะพวกเขากำลังจะค้นหาเรคคอร์ด SRV เพื่อบอกพวกเขาถึงวิธีไปที่ DC และรับข้อมูลโดเมน เนื่องจากไม่มี DC ในเครือข่ายระยะไกลพวกเขาไม่สามารถแก้ไขชื่อนี้ได้โดยใช้ชิ้นส่วนหน้าต่างที่รับรู้โฆษณาตามปกติ

เมื่อคุณใช้ ping หรือ (เกือบ) แอปพลิเคชัน Windows ใด ๆ มันจะใช้สแต็ค IP ของ Windows แบบเต็มรวมถึงชิ้นส่วนที่พูดคุยกับ AD ในขณะที่ NSLookup จริง ๆ แล้วทำการสืบค้น DNS คุณตรวจสอบแล้วด้วยการติดตาม Wireshark ของคุณจะไม่มีการค้นหาโดย Windows เมื่อพยายามไปที่ company.com แต่ nslookup จะแสดงการค้นหา DNS ที่เหมาะสม นี่คือเหตุผลที่คุณไม่สามารถแก้ไขโดเมนผ่าน ping หรือเว็บเบราว์เซอร์ได้ แต่ nslookup นั้นใช้ได้

ทางออกสำหรับส่วนแรกคือการใช้ www.company.com เพื่อเข้าสู่เว็บไซต์ทั้งภายในและภายนอกเพื่อให้ลูกค้าไม่สนใจ DC

วิธีแก้ปัญหาสำหรับส่วนที่สองนั้นมีความซับซ้อนมากขึ้นอยู่กับว่า subdomain.company.com หมายถึงอะไรทั้งภายในและภายนอก DC มีระเบียน DNS สำหรับโดเมนย่อยหรือคำขอเหล่านั้นเพิ่งส่งไปยังเซิร์ฟเวอร์ DNS ภายนอกหรือไม่ หากมีระเบียน DNS จุดบันทึกนั้นจะอยู่ที่ไหน

RobbieCrash
แหล่งที่มา
0

ฉันจะตรวจสอบไฟล์โฮสต์ ( http://en.wikipedia.org/wiki/Hosts_%28file%29#Location_in_the_file_system ) บนเครื่องไม่มีรายการใด ๆ สำหรับโฮสต์ที่คุณพยายามจะไป ฉันคิดว่าเครื่องมือ NSLOOKUP ข้ามไฟล์โฮสต์ แต่เว็บเบราว์เซอร์จะไม่ทำงาน

ฉันจะตรวจสอบว่าคุณไม่ได้กำหนดค่าพร็อกซีในเว็บเบราว์เซอร์เนื่องจากพร็อกซีบางประเภทแก้ไข DNS ได้เช่นกัน

ฉันจะลองใช้เบราว์เซอร์ใน "เซฟโหมด" (เช่นเมื่อปิดแอดออนและปลั๊กอินทั้งหมด) ด้วย IE ("iexplore -extoff") หรือ Firefox (กดปุ่ม Shift ค้างเมื่อเริ่มหรือ "firefox -safe-mode")

เป็นการดีถ้าเป็นไปได้ลองกับเว็บเบราว์เซอร์อื่นเพื่อ จำกัด ว่าเป็นเว็บเบราว์เซอร์หรือระบบปฏิบัติการ

ถ้าฉันยังไม่ได้ไปไหนฉันจะตรวจสอบว่ามีบริการใดบ้างที่เชื่อมต่อกับอะแดปเตอร์เครือข่าย (ไฟร์วอลล์บ้าที่มีกฎเฉพาะเจาะจงเข้ามา)

ในที่สุดและนี่คือการหลงทางที่ไม่น่าเป็นไปได้มากขึ้น แต่ NSLOOKUP จะผนวกชื่อโดเมนเฉพาะการเชื่อมต่อคอมพิวเตอร์หรือการสืบค้นลงในแบบสอบถามโดยอัตโนมัติ ตัวอย่างเช่นเราเตอร์ของฉันตั้งชื่อโดเมนเป็น "เราเตอร์" ดังนั้น nslookup สำหรับบางอย่างเช่น "matthew" จะค้นหา DNS สำหรับ "matthew.router" จริง ๆ แล้วมันเป็นไปได้ที่เว็บเบราว์เซอร์ไม่ทำสิ่งนี้ .. อย่างที่คุณบอกว่าคุณทำแพ็กเก็ต การจับภาพไม่ได้เป็นปัญหาของคุณ แต่ในกรณีที่คุณพลาดการจับแพ็คเก็ตหรือสภาพแวดล้อมการจับภาพของคุณไม่ถูกต้อง :-)

นี่คือสิ่งที่ฉันจะลองและหวังว่าจะเป็นเช่นนี้ :-)

Matthew1471
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.