7 votos

La resolución de DNS falla en el navegador web, pero nslookup se realiza correctamente

Somos una pequeña, 300-asiento de la organización con una mezcla de BYOD y el entorno de Active Directory de Windows Server 2012 Standard, Windows 7 Enterprise) y vamos a tener un problema muy extraño que involucran específicos del ámbito de fallos para resolver nuestro dominio de la organización nombre de nuestro dominio, la compañía controlada por las máquinas. Para el propósito de esta discusión, voy a usar company.com en lugar de nuestro nombre de dominio.

Antecedentes:

  • Controlador de Dominio Active Directory está situado en la 172.16.1.3
  • El AD/DC de la máquina también está ejecutando DHCP, DNS y HTTP (IIS)
  • Nuestras organizaciones en los sitios web company.com y subdomain.company.com está alojado por IIS en el AD/DC de la máquina
  • Tenemos un split DNS escenario en el que la AD/DC se utiliza el servidor de DNS interno de resolución, pero de una manera diferente, fuera del sitio que proporciona servidor de DNS para la resolución de consultas públicas
  • La dirección IP que corresponde a company.com y subdomain.company.com es la dirección IP pública utilizado por un servidor de seguridad en el borde de nuestra red (tanto en el AD/DC servidor DNS y el servidor DNS)
  • El firewall está configurado correctamente para la NAT para aprobar solicitudes HTTP y HTTPS que recibe en su dirección IP pública a la IP interna de la AD/DC servidor y refleja

Escenario 1:

  • Un usuario en un dominio de Windows 7 Enterprise de la máquina está conectada directamente a nuestra red local con direcciones locales 172.16.6.100 /16, emitido por el servidor DHCP.
  • La entrada del servidor DNS proporcionada por DHCP (172.16.1.3)
  • Este usuario es capaz de acceder a los sitios web alojados en company.com y subdomain.company.com
  • Edit: nslookup se ha ejecutado en este escenario y devuelve correctamente el adecuado registro de DNS desde el servidor DNS interno (172.16.1.3)

Escenario 2:

  • El mismo usuario en el mismo dominio de Windows 7 Enterprise de la máquina se va a casa y se conecta a Internet a través de su residencial ISP
  • La IP y el servidor DNS entradas para la máquina del cliente son proporcionados por DHCP
  • Este usuario puede acceder a cualquiera de los recursos de internet, tales como google.com
  • Este usuario no puede acceder a la página web company.com o subdomain.company.com ("host no se ha resuelto" de error se devuelve)
  • Cuando el usuario ejecuta nslookup en company.com que HACER de recibir la dirección IP pública proporcionada por DNS
  • Solicitudes de HTTP/HTTPS para la dirección IP y éxito de una página web es devueltos por el servidor
  • Este problema prevalece en todos los navegadores web
  • El uso de tracert company.com devuelve "no se puede resolver el nombre de destino"
  • El uso de ping company.com devuelve "no se pudo encontrar el host company.com"
  • Cuando se ejecuta Wireshark en el cliente antes/durante un error en la solicitud, no los paquetes son enviados por el cliente de la máquina (ya sea para la resolución de DNS o por un período inicial de HTTP/ping/tracert petición)
  • Reiniciar el servicio de Cliente DNS no resuelve el problema
  • Detener el servicio de Cliente DNS no resuelve el problema
  • El uso de ipconfig /flushdns no se resuelve este problema
  • El uso de la ruta /f no se resuelve este problema
  • Restablecimiento de las conexiones de red mediante el comando netsh int ip reset no se soluciona este problema
  • Edit: nslookup se ha ejecutado en este escenario y devuelve correctamente el adecuado registro de DNS desde el servidor DNS especificado por la configuración de DHCP de la red utilizados por el usuario

Escenario 3:

  • Este mismo usuario en lo personal (no de dominio) de Windows 7 Professional equipo es capaz de acceder a los sitios web en company.com y subdomain.company.com cuando se conecta a nuestra red local
  • Edit: nslookup se ha ejecutado en este escenario y devuelve correctamente el adecuado registro de DNS desde el servidor DNS interno (172.16.1.3)

Escenario 4:

  • Este mismo usuario en lo personal (no de dominio) de Windows 7 Professional equipo es capaz de acceder a los sitios web en company.com y subdomain.company.com cuando está conectado a su red doméstica
  • Edit: nslookup se ha ejecutado en este escenario y devuelve correctamente el adecuado registro de DNS desde el servidor DNS especificado por la configuración de DHCP de la red utilizados por el usuario

Notas Finales:

Este problema parece ser generalizado a afectar a todos de propiedad de la empresa equipos. Estamos utilizando un sistema común de imagen para todos de propiedad de la empresa equipos, que se acaba de cargar en el mes de agosto. He estado recorriendo la internet en la búsqueda de posibles soluciones y han llegado con las manos vacías así que ahora, yo realmente apreciamos cualquier sugerencia o consejo que usted pueda tener.

1voto

RobbieCrash Puntos 398

El dominio se unió a los equipos van a estar buscando su DC, no sólo a hacer un DNS basado en la búsqueda. Ya que el dominio es el mismo que el sitio web público, que va a ser la búsqueda de un registro SRV para decirles cómo llegar a la DC y obtener información de dominio. Ya que no hay DC en la red remota, que no puede resolver este nombre el uso normal de AD aware windows partes.

Cuando usted usa el comando ping o (casi) cualquier aplicación de Windows, utiliza el Windows completo pila IP, incluyendo las partes que hablan de ANUNCIOS. Mientras que NSLookup en realidad sólo hace una consulta DNS. Has comprobado esto con el Wireshark huellas, no se realizan búsquedas por Windows cuando tratando de llegar a company.com pero nslookup muestra una adecuada búsqueda de DNS. Esta es la razón por la que usted es incapaz de resolver el dominio a través de un ping o un navegador web, pero nslookup está bien.

La solución para la primera parte de esto es el uso de www.company.com para ingresar al sitio web, interna y externamente, de modo que los clientes de ignorar por completo buscando un DC.

La solución para la segunda parte es más complicado dependiendo de lo que subdomain.company.com se refiere tanto interna como externamente. ¿La DC tiene un registro DNS para el subdominio, o son esas solicitudes acaba de enviar al servidor DNS externo? Si tiene un registro de DNS, ¿de dónde viene ese registro?

0voto

SantiFdezMunoz Puntos 195

¿ha implementado alguna "extraña" solución como Acceso Directo o algo así que puede que interfiera con el normal proceso de resolución de DNS??

Saludos

0voto

Matthew1471 Puntos 49

Me gustaría comprobar el archivo HOSTS (http://en.wikipedia.org/wiki/Hosts_%28file%29#Location_in_the_file_system) en la máquina no contiene todas las entradas para los huéspedes a los que está tratando de llegar. Creo que la herramienta NSLOOKUP omite el archivo hosts, pero el navegador no.

También me echa usted no tiene un servidor proxy configurado en el navegador web como algunos tipos de servidores proxy también resolver el DNS.

También me gustaría probar a ejecutar el navegador en su "modo seguro" (es decir, con todos los complementos y plugins desactivados) con IE ("iexplore-extoff") o Firefox (mantenga presionada la tecla mayús cuando se comienza o "firefox-safe-mode").

Idealmente, si es posible, pruebe con otro navegador web para estrechar abajo si es el navegador web o el sistema operativo.

Entonces, si yo todavía no estaba llegando a ningún lado me gustaría comprobar qué servicios están obligados a que el adaptador de red (loco firewall con reglas específicas en el camino?)

Finalmente, y esto es adentrándose en la cada vez más improbable, pero NSLOOKUP anexará el equipo de conexión o el nombre de dominio específico en las consultas de forma automática. Por ejemplo, mi router establece el nombre de dominio como "router" por lo que cualquier nslookup algo así como "mateo" en realidad búsquedas de DNS para "mateo.router", es posible que el navegador web no está haciendo esto.. como usted dijo que se hizo una captura de paquetes, no parece que esta es tu problema.. pero en caso de que se la perdieron en la captura de paquetes o de su entorno de captura no fue del todo bien :-).

Estas son las cosas que me gustaría probar y esperemos que esto ayude a ti también :-).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: