与我之前的这个问题有关,为什么使用根域名作为 Active Directory 林的名称是个坏主意......
出于简单(和诚实)的目的,我有一个雇主,我将其称为 ITcluelessinc。该雇主有一个外部托管网站www.ITcluelessinc.com和一些 Active Directory 域。许多年前,由于对 IT 一无所知,他们将自己建立在一个名为 的 Active Directory 森林ITcluelessinc.prv中,并对它进行了难以形容的暴行。这些无法形容的暴行最终追上了他们,在他们周围的一切都崩溃的情况下,他们决定付给某人一大笔钱来“修复它”,其中包括迁移出可怕的破碎ITcluelessinc.prv森林。
当然,由于对 IT 一无所知,他们在听到它时并不知道好的建议,接受了命名他们的新 AD 森林的建议ITcluelessinc.com,而不是他们也得到的理智建议,并开始在上面放东西。快进到几个小时前,我们有一家公司,它的大部分东西都加入并使用旧的ITcluelessinc.prvActive Directory 林,还有相当数量的新产品加入和/或使用该ITcluelessinc.com林。为了使这项工作相对无缝地协同工作,我在 DNS 中使用条件转发器将ITcluelessinc.com流量发送到ITcluelessinc.prv,反之亦然。
(corp.ITcluelessinc.com和eval.ITcluelessinc.com域是我后来设置的正确命名的域,现在还不相关。)
回到几个小时前,ITcluelessinc 的一名非技术员工注意到她无法从她的工作站(在 ITcluelessinc 公司网络内)浏览到www.ITcluelessinc.com,并认为这是一个问题,因此她联系ITcluelessinc 的 VIP 员工,他决定必须解决这个问题。通常,没什么大不了的,www在 的 DNS 区域下添加一个 A 记录ITcluelessinc.com,您就可以浏览该站点,只要您不尝试裸链接即可。
所以,看起来一切都设置正确。转发器、wwwDNS 中的主机条目,以及使用ITcluelessinc.prv域控制器作为 DNS 服务器的客户端在尝试浏览www.ITcluelessinc.com而不是我从家庭网络获得的网页时会出现连接超时。
鉴于Active Directory 林的存在及其所需的条件转发器,是否有人对我如何允许ITcluelessinc.prv域的内部客户端浏览www.ITcluelessinc.com有任何想法?ITcluelessinc.com或者,是否有人 [其他] 确信使其工作的唯一方法是摆脱ITcluelessinc.comActive Directory 林?
看起来我现在的设置应该可以工作,但显然不是,而且我不知道我会在哪里获得一个搞砸的测试环境来进行实验。对于它的价值,我有点礼貌地建议解决这个问题的唯一方法是迁移到我设置的正确命名的森林,如果这还不够好,请计划在所有网站上托管网站的镜像我们的域控制器,直到打破一切。ITcluelessinc.com
如果客户端正确解析主机名,那么您还有另一个问题。一旦客户端解析了主机名,DNS 就不存在了。
需要考虑的一些事情:
客户端是否使用任何类型的 HTTP 代理来访问 Internet?代理是否有可用的正确 DNS 信息?
访问尝试失败后,客户端上的 DNS 缓存是什么样的?您是否看到为主机名缓存的正确 IP 地址?
客户端实际发生了什么?您是否看到与正确服务器 IP 地址、TCP 端口 80 的连接处于 SYN_SENT 状态?
是否有任何可能与阻止访问网站地址有关的防火墙规则?
这闻起来像防火墙/代理/缓存/过滤器问题,而不是 DNS 问题。
不幸的是,对于摆脱命名不佳的 Active Directory 域,我没有什么真正令人信服的说法。不幸的是,他们选择了这条路线,但从技术上讲,这是可行的。(我也讨厌这种糟糕的命名习惯...... “卑鄙”,我相信,我过去是这样称呼它的......希望我有一些好的建议可以将域名重命名参数转发给你...)