Relacionado a esta minha pergunta anterior sobre por que é uma má ideia usar o nome do domínio raiz como o nome da floresta do Active Directory ...
Tenho um empregador, a quem me referirei como ITcluelessinc, para fins de simplicidade (e honestidade). Este empregador tem um site hospedado externamente, www.ITcluelessinc.com , e alguns domínios do Active Directory. Sem saber nada sobre TI, muitos anos atrás, eles se instalaram em uma floresta do Active Directory chamada ITcluelessinc.prv, e cometeram atrocidades indescritíveis contra ela. Essas atrocidades indescritíveis eventualmente os alcançaram e, com tudo desmoronando ao seu redor, eles decidiram pagar a alguém uma grande quantia em dinheiro para "consertar", o que incluía migrar para fora da ITcluelessinc.prvfloresta terrivelmente quebrada.
E, claro, sem saber nada sobre TI, eles não conheciam um bom conselho quando o ouviam, aceitaram a recomendação de nomear sua nova floresta AD ITcluelessinc.com, em vez do conselho sensato que também receberam, e começaram a colocar coisas nele. Avanço rápido para algumas horas atrás, e temos uma empresa com a maioria de suas coisas unidas e usando a antiga ITcluelessinc.prvfloresta do Active Directory, com uma boa quantidade de coisas mais novas unidas e/ou usando a ITcluelessinc.comfloresta. Para fazer isso funcionar de maneira relativamente perfeita, usei encaminhadores condicionais no DNS para enviar o ITcluelessinc.comtráfego para ITcluelessinc.prv, e vice-versa.
(Os domínios corp.ITcluelessinc.come eval.ITcluelessinc.comsão domínios nomeados corretamente que eu entrei e configurei posteriormente e ainda não são relevantes.)
Algumas horas atrás, uma funcionária não técnica da ITcluelessinc notou que não conseguia navegar para www.ITcluelessinc.com de sua estação de trabalho (dentro da rede corporativa da ITcluelessinc) e decidiu que isso era um problema, então ela entrou em contato Funcionário VIP da ITcluelessinc, que decide que isso deve ser resolvido mais Ricky-tick. Normalmente, não é um grande negócio, adicione um registro A para wwwsob a zona DNS para ITcluelessinc.com, e você pode navegar no site, contanto que não tente o link simples.
Então, parece que está tudo configurado corretamente. Encaminhadores, wwwentrada de host no DNS e, ainda assim, clientes que usam o ITcluelessinc.prvcontrolador de domínio como servidores DNS obtêm um tempo limite de conexão ao tentar navegar para www.ITcluelessinc.com , em vez da página da Web que obtenho da minha rede doméstica.
Alguém tem alguma ideia de como posso permitir que clientes internos do ITcluelessinc.prvdomínio naveguem www.ITcluelessinc.com , dada a presença da ITcluelessinc.comfloresta do Active Directory e dos encaminhadores condicionais necessários? Ou, alternativamente, alguém [mais] está convencido de que a única maneira de fazê-lo funcionar é se livrar da ITcluelessinc.comfloresta do Active Directory?
Parece que a configuração que tenho agora deve funcionar, mas claramente não é, e não tenho ideia de onde conseguir um ambiente de teste tão confuso para experimentar. E pelo que vale a pena, sugeri educadamente que a única maneira de consertar isso é migrar para as florestas com nomes apropriados que configurei e, quando essa não for uma resposta boa o suficiente, planeje hospedar um espelho do site em todos nossos controladores de domínio até que quebre tudo .ITcluelessinc.com
Se os clientes estiverem resolvendo o nome do host corretamente, você terá outro problema. O DNS fica fora de cogitação quando o nome do host é resolvido pelo cliente.
Algumas coisas para pensar:
Os clientes estão usando algum tipo de proxy HTTP para acessar a Internet? O proxy tem as informações de DNS corretas disponíveis?
Qual é a aparência do cache DNS no cliente após uma tentativa de acesso malsucedida? Você está vendo o endereço IP correto armazenado em cache para o nome do host?
O que realmente está acontecendo no cliente? Você está vendo uma conexão travada no estado SYN_SENT para o endereço IP correto do servidor, porta TCP 80?
Existem regras de firewall relacionadas ao bloqueio de acesso ao endereço do site?
Isso cheira a um problema de firewall / proxy / cache / filtro, não um problema de DNS.
Infelizmente, não há nada realmente convincente que eu possa dizer sobre como me livrar do domínio mal-nomeado do Active Directory. É lamentável que eles tenham escolhido esse caminho, mas tecnicamente isso pode funcionar. (Eu também odeio esse tipo de má prática de nomenclatura ... "vil", acredito, é como me referi a isso no passado ... Gostaria de ter alguns bons conselhos para encaminhar um argumento de renomeação de domínio para você ...)