Проблемы DNS с Sharepoint и другими системами интрасети

В сети AD для всех членов домена (рабочих станций, ноутбуков, серверов) вы должны ТОЛЬКО, чтобы их свойства TCP / IP указывали на внутренний DNS-сервер AD для разрешения, в идеале два разных DNS-сервера. «Сетевой парень» (tm) был добросердечен в том смысле, что они хотели, чтобы у вас было «отказоустойчивое» решение на случай отказа вашего основного DNS, но добавив внешний DNS вы сломали свой AD DNS. Под «сломанным» я подразумеваю, что если какие-либо компьютеры решат использовать второй DNS (4.2.2.2), то все ваше внутреннее разрешение перестанет работать ... даже входы в AD.

Наличие нескольких записей DNS в ваших свойствах TCP / IP не означает, что вы можете иметь «один внутри, другой снаружи», а чтобы иметь избыточность на случай, если первая выйдет из строя. DNS - это жизненная сила современной IP-сети, поэтому важно продолжать работу. Во внутренней сети с записями DNS только для внутреннего использования вам нужно будет запустить два внутренних DNS-сервера, если вы хотите резервирование при отказе ... просто прикрепление внешнего IP-адреса (4.2.2.2), поскольку второй не будет работать (как вы видели ).

Итак, что происходит: ваши компьютеры случайно не могут разговаривать с первичным DNS-сервером (это еще одна проблема, на которую вам следует обратить внимание), и когда они не могут подключиться, они начинают использовать вторичный DNS, который не знает ваших внутренних записей DNS. . Эти компьютеры спрашивают 4.2.2. каков IP-адрес вашего сервера SharePoint, и он знает его как общедоступный IP-адрес в Интернете. Windows не просто «переключится» обратно на основной (о чем я знаю) до перезагрузки или перезапуска службы DNS-клиента.

Бьюсь об заклад, вы обнаружите, что удаление 4.2.2.2 решает проблему (но теперь у вас нет переключения DNS). Чтобы исправить это, вам понадобится второй AD DC, на котором запущен DNS, а затем прикрепите его IP ко всем компьютерам. Вторичная запись DNS.

Когда я смотрю на зону, name-services.com кажется авторитетным снаружи, то есть ваш домен на первый взгляд не выглядит так, как будто он обрабатывается вашим внутренним AD. Сказав это, похоже, что gsisql001.gsi.us разрешается во внешнем мире, поэтому я думаю, вам нужно предоставить более подробную информацию о настройке DNS.

Быстрый запрос официальных серверов имен для зоны дает смешанные результаты для хоста gsisql001.gsi.us (извне).

Что касается вашего вопроса - да, ваша проблема, похоже, связана с настройкой DNS (ваши разные результаты при пинге внутренне подтверждают это).

Не зная схемы разрешения вашей внутренней сети, я бы посоветовал почитать о методах Microsoft AD / DNS, в частности, об использовании зоны .local (или любого TLD, не относящегося к Интернету) для внутренних служб. MS имеет kb at эта ссылка, он ориентирован на SBS, но принципы управления внутренней зоной те же.

Попытка использовать полное доменное имя вместо имени хоста, т.е.

ping gsisql001.yourdomain.local

Я предполагаю, что это будет работать нормально, и в этом случае проверьте суффикс поиска DNS для своих компьютеров, просмотрев вкладку DNS в свойствах TCP / IP для сетевого адаптера.

Я использую сервер AD для основного DNS 192.168.1.5. Я также использую второй DNS (как сказал специалист по сети, который помог мне настроить наш брандмауэр несколько лет назад), чтобы использовать 4.2.2.2 для решения внешних проблем.

Этот сетевой парень плохо разбирался в DNS. Предпочтительно и чередовать Серверы в настройках конфигурации DNS-клиента (Windows NT) не являются какой-либо формой механизма слияния данных. Они также не представляют собой порядок приоритета из-за различных ошибок и странностей в DNS-клиентах на протяжении многих лет. Они должны все настоящее время тот же самый представление пространства имен DNS. Это именно то, что происходит, когда они этого не делают.

Следует работать по принципу, что любой запрос может быть отправлен любому из них, время от времени меняющийся. В MacOS 10 есть способ разделения запросов на то, о какой части дерева пространства имен DNS спрашивают. Windows NT этого не делает.

В любом случае использование внешних прокси-серверов DNS, управляемых людьми, с которыми у вас нет договорных отношений, является плохой идеей. Вы бы не стали использовать такой внешний прокси-сервер HTTP; вы также не будете направлять свою почту через внешний сервер SMP Relay, если у вас нет соглашения с владельцами серверов. Вы совершенно справедливо думаете, насколько небезопасно было бы передавать ключи от королевства таким образом совершенно незнакомому человеку, против которого никто не может возместить ущерб и который по контракту не согласился даже предоставить вам услуги. Так что не делайте этого и для DNS.

Если вам нужна избыточность, запустите дополнительные внутренние DNS-серверы, настроенные для репликации ваших внутренних данных. Даже старый компьютер 1990-х годов, нелюбимый в шкафу, имеет достаточно мощности для предоставления таких услуг. Или у вас может быть полноценный второй контроллер домена (для которого, конечно, вам понадобится более новая машина).

дальнейшее чтение

• Джонатан де Бойн Поллард (2003). Резервные прокси-серверы DNS должны обеспечивать такое же представление пространства имен DNS, как и ваш основной.. Часто задаваемые ответы.
• Джонатан де Бойн Поллард (2003, 2010). Откуда получить прокси DNS сервис. Часто задаваемые ответы.