Назад | Перейти на главную страницу

Разрешение DNS не удается в веб-браузере, но nslookup успешно

Мы небольшая организация на 300 человек со смешанной средой BYOD и Active Directory (Windows Server 2012 Standard, Windows 7 Enterprise), и у нас возникла очень странная проблема, связанная с ошибками очень конкретной области при разрешении доменного имени нашей организации в нашем домене. -соединенные, управляемые компанией машины. Для целей этого обсуждения я буду использовать company.com вместо нашего доменного имени.

Задний план:

Контроллер домена Active Directory расположен по адресу 172.16.1.3.
На компьютере AD / DC также работают DHCP, DNS и HTTP (IIS).
Сайты наших организаций по адресу company.com и subdomain.company.com размещены в IIS на машине AD / DC
У нас есть сценарий с разделенным DNS, в котором сервер AD / DC используется для внутреннего разрешения DNS, но другой внешний сервер обеспечивает разрешение DNS для общедоступных запросов.
IP-адрес, соответствующий company.com и subdomain.company.com это общедоступный IP-адрес, используемый брандмауэром на границе нашей сети (как на DNS-сервере AD / DC, так и на стороннем DNS-сервере)
Брандмауэр правильно настроен для NAT для передачи запросов HTTP и HTTPS, которые он получает на свой общедоступный IP-адрес, на внутренний IP-адрес сервера AD / DC и отражает

Сценарий 1:

Пользователь подключенного к домену компьютера с Windows 7 Enterprise подключается непосредственно к нашей локальной сети с локальным адресом 172.16.6.100 / 16, выданным DHCP-сервером.
Запись DNS-сервера предоставляется DHCP (172.16.1.3)
Этот пользователь может получить доступ к веб-сайтам, размещенным на сайте company.com и subdomain.company.com.
Редактировать: nslookup был запущен в этом сценарии и правильно возвращает правильную запись DNS с внутреннего DNS-сервера (172.16.1.3)

Сценарий 2:

Тот же пользователь на том же компьютере с Windows 7 Enterprise, присоединенном к домену, идет домой и подключается к Интернету через своего домашнего провайдера.
Записи IP- и DNS-сервера для клиентского компьютера предоставляются DHCP.
Этот пользователь может получить доступ к любым интернет-ресурсам, например google.com.
Этот пользователь не может получить доступ к веб-сайту по адресу company.com или subdomain.company.com (возвращается ошибка "узел не разрешен")
Когда этот пользователь запускает nslookup на company.com Oни ДЕЛАТЬ получить правильный публичный IP-адрес, предоставленный DNS
Запросы HTTP / HTTPS к IP-адресу проходят успешно, и веб-страница возвращается сервером должным образом.
Эта проблема характерна для всех веб-браузеров.
С помощью tracert company.com возвращает "невозможно определить имя целевой системы"
С помощью ping company.com возвращает "не удалось найти хост company.com"
При запуске Wireshark на клиенте до / во время неудачного запроса клиентский компьютер не отправляет пакеты (ни для разрешения DNS, ни для начального запроса HTTP / ping / tracert)
Перезапуск службы DNS-клиента не решает проблему
Остановка службы DNS-клиента не решает проблему
С помощью ipconfig / flushdns не решает эту проблему
С помощью маршрут / f не решает эту проблему
Сброс сетевых подключений с помощью netsh int ip сброс не решает эту проблему
Редактировать: nslookup был запущен в этом сценарии и правильно возвращает правильную запись DNS от DNS-сервера, указанного в настройках DHCP сети, используемой пользователем.

Сценарий 3:

Этот же пользователь на личном (не присоединенном к домену) компьютере под управлением Windows 7 Professional имеет доступ к веб-сайтам по адресу company.com и subdomain.company.com при подключении к нашей локальной сети
Редактировать: nslookup был запущен в этом сценарии и правильно возвращает правильную запись DNS с внутреннего DNS-сервера (172.16.1.3)

Сценарий 4:

Этот же пользователь на личном (не присоединенном к домену) компьютере под управлением Windows 7 Professional имеет доступ к веб-сайтам по адресу company.com и subdomain.company.com при подключении к своей домашней сети
Редактировать: nslookup был запущен в этом сценарии и правильно возвращает правильную запись DNS от DNS-сервера, указанного в настройках DHCP сети, используемой пользователем.

Заключительные примечания:

Эта проблема, по-видимому, распространяется на все компьютеры, принадлежащие компании. Мы используем общий образ системы для всех компьютеров компании, который был загружен только в августе. Я рыскал по Интернету в поисках возможных решений и пока ничего не нашел - я очень ценю любые предложения или советы, которые могут у вас возникнуть.

Подключенные к домену компьютеры будут искать свой DC, а не просто выполнять поиск на основе DNS. Поскольку домен совпадает с общедоступным веб-сайтом, они будут искать запись SRV, чтобы сообщить им, как добраться до DC и получить информацию о домене. Поскольку в удаленной сети нет контроллера домена, они не могут разрешить это имя с помощью обычных частей Windows, поддерживающих AD.

Когда вы используете ping или (почти) любое приложение Windows, оно использует полный стек IP-адресов Windows, включая части, которые взаимодействуют с AD. В то время как NSLookup на самом деле просто выполняет DNS-запрос. Вы проверили это с помощью трассировки Wireshark, Windows не выполняет поиск при попытке перейти на company.com, но nslookup показывает правильный поиск DNS. Вот почему вы не можете разрешить домен через ping или веб-браузер, но nslookup в порядке.

Решением для первой части этого является использование www.company.com для доступа к веб-сайту как изнутри, так и извне, чтобы клиенты полностью игнорировали поиск DC.

Решение для второй части сложнее, в зависимости от того, к чему subdomain.company.com относится как внутри, так и снаружи. Есть ли у DC запись DNS для поддомена или эти запросы просто отправляются на внешний DNS-сервер? Если у него есть запись DNS, на что указывает эта запись?

Я бы проверил файл HOSTS (http://en.wikipedia.org/wiki/Hosts_%28file%29#Location_in_the_file_system) на машине не содержит записей для хостов, к которым вы пытаетесь подключиться. Я думаю, что инструмент NSLOOKUP обходит файл hosts, а веб-браузер - нет.

Я также хотел бы проверить, что у вас не настроен прокси-сервер в веб-браузере, поскольку некоторые типы прокси также разрешают DNS.

Я бы также попробовал запустить браузер в его «безопасном режиме» (т.е. со всеми отключенными надстройками и плагинами) с IE («iexplore -extoff») или Firefox (удерживайте клавишу Shift при запуске или «firefox -safe-mode»).

В идеале, если возможно, попробуйте использовать другой веб-браузер, чтобы сузить круг вопросов, будь то веб-браузер или ОС.

Затем, если я все еще ничего не добился, я бы проверил, какие службы привязаны к сетевому адаптеру (сумасшедший брандмауэр с конкретными правилами мешает?)

Наконец, и это становится все более маловероятным, NSLOOKUP будет автоматически добавлять имя домена компьютера или соединения в запросы. Например, мой маршрутизатор устанавливает доменное имя как «router», поэтому любой nslookup для чего-то вроде «matthew» на самом деле ищет DNS для «matthew.router», возможно, веб-браузер этого не делает .. как вы сказали, что сделали пакет захват не звучит так, как будто это ваша проблема ... но на тот случай, если вы пропустили это при захвате пакетов или ваша среда захвата была не совсем правильной :-).

Это то, что я бы попробовал, и, надеюсь, это вам тоже поможет :-).