与根 DNS 区域同名并浏览到同名站点的 Active Directory 林

Question

与我之前提出的关于为什么将根域名用作 Active Directory 林的名称是个坏主意有关的问题...

为了简单（和诚实），我有一个雇主，我将其称为 ITcluelessinc。该雇主有一个外部托管网站www.ITcluelessinc.com和一些 Active Directory 域。多年前，由于对 IT 一无所知，他们将自己设置在一个名为 的 Active Directory 林中ITcluelessinc.prv，并对它进行了难以形容的暴行。这些难以言喻的暴行最终追上了他们，随着他们周围的一切都崩溃了，他们决定付给某人一大笔钱来“修复它”，其中包括从破碎的可怕ITcluelessinc.prv森林中迁出。

当然，由于对 IT 一无所知，当他们听到它时，他们不知道好的建议，接受了为他们的新 AD 森林命名的建议ITcluelessinc.com，而不是他们也得到的明智建议，并开始在上面放东西。快进到几个小时前，我们有一家公司的大部分内容都加入并使用了旧的ITcluelessinc.prvActive Directory 林，还有相当数量的较新的东西加入和/或使用了该ITcluelessinc.com林。为了相对无缝地协同工作，我在 DNS 中使用了条件转发器将ITcluelessinc.com流量发送到ITcluelessinc.prv，反之亦然。

（corp.ITcluelessinc.com和eval.ITcluelessinc.com域是我后来进入并设置的正确命名的域，目前尚不相关。）

回到几个小时前，ITcluelessinc 的一名非技术员工注意到她无法从她的工作站（在 ITcluelessinc 公司网络内）浏览www.ITcluelessinc.com，并认为这是一个问题，因此她联系了ITcluelessinc 的 VIP 员工，他决定必须解决这个问题，Ricky-tick。通常，没什么大不了的，www在 的 DNS 区域下添加 A 记录ITcluelessinc.com，您可以浏览该站点，只要您不尝试裸链接。

所以，看起来一切都设置正确。转发器、wwwDNS 中的主机条目以及使用ITcluelessinc.prv域控制器作为 DNS 服务器的客户端在尝试浏览www.ITcluelessinc.com而不是我从家庭网络获得的网页时会出现连接超时。

考虑到Active Directory 林和它需要的条件转发器的存在，是否有人对我如何允许ITcluelessinc.prv域的内部客户端浏览www.ITcluelessinc.com有任何想法ITcluelessinc.com？或者，有没有人[其他人] 相信让它工作的唯一方法是摆脱ITcluelessinc.comActive Directory 林？

它看起来像安装我现在要工作，但它显然不是的，我不知道在哪里我会购买一个测试环境中，这搞砸进行试验。对于它的价值，我有点礼貌地建议解决这个问题的唯一方法是迁移到我设置的正确命名的森林，如果这不是一个足够好的答案，请计划在所有网站上托管网站的镜像我们的ITcluelessinc.com域控制器，直到打破一切。

Answer 1

如果客户端正确解析主机名，那么您还有另一个问题。一旦客户端解析了主机名，DNS 就不存在了。

需要考虑的一些事情：

• 客户端是否使用任何类型的 HTTP 代理来访问 Internet？代理是否有正确的 DNS 信息可用？

• 访问尝试失败后，客户端上的 DNS 缓存是什么样的？您是否看到为主机名缓存的正确 IP 地址？

• 客户端实际发生了什么？您是否看到与正确的服务器 IP 地址、TCP 端口 80 的连接卡在 SYN_SENT 状态？

• 是否有任何防火墙规则可能与阻止访问网站地址有关？

这闻起来像是防火墙/代理/缓存/过滤器问题，而不是 DNS 问题。

不幸的是，对于摆脱名称不正确的 Active Directory 域，我没有什么可说的。不幸的是，他们选择了这条路线，但从技术上讲，这是可行的。（我也讨厌这种糟糕的命名实践......我相信，“卑鄙”就是我过去提到它的方式......希望我有一些好的建议来向你转发域重命名参数...）