4

私たちは、BYOD と Active Directory が混在する環境 (Windows Server 2012 Standard、Windows 7 Enterprise) を持つ 300 席の小規模な組織であり、ドメイン上の組織のドメイン名を解決するための非常に特定の範囲の障害を含む非常に奇妙な問題を抱えています。 -参加した、会社が管理するマシン。この説明では、ドメイン名の代わりにcompany.comを使用します。

バックグラウンド:

  • Active Directory ドメイン コントローラーは 172.16.1.3 にあります。
  • AD/DC マシンは、DHCP、DNS、および HTTP (IIS) も実行しています。
  • company.comおよびsubdomain.company.comにある私たちの組織の Web サイトは、AD/DC マシン上の IIS によってホストされています。
  • AD/DC サーバーが内部 DNS 解決に使用され、別のオフサイト サーバーがパブリック クエリの DNS 解決を提供する分割 DNS シナリオがあります。
  • company.comおよびsubdomain.company.comに対応する IP アドレスは、ネットワークのエッジ (AD/DC DNS サーバーとオフサイト DNS サーバーの両方) でファイアウォールによって使用されるパブリック IP アドレスです。
  • ファイアウォールは、NAT がパブリック IP アドレスで受信した HTTP および HTTPS 要求を AD/DC サーバーの内部 IP に渡し、反映するように正しく構成されています。

シナリオ 1:

  • ドメインに参加している Windows 7 Enterprise マシンのユーザーは、DHCP サーバーによって発行されたローカル アドレス 172.16.6.100 /16 を使用してローカル ネットワークに直接接続されます。
  • DNS サーバー エントリは DHCP (172.16.1.3) によって提供されます。
  • このユーザーは、company.com および subdomain.company.com でホストされている Web サイトにアクセスできます。
  • 編集: nslookup はこのシナリオで実行され、内部 DNS サーバー (172.16.1.3) から適切な DNS レコードを正しく返します。

シナリオ 2:

  • 同じドメインに参加している Windows 7 Enterprise マシンの同じユーザーが帰宅し、家庭用 ISP を使用してインターネットに接続します。
  • クライアント マシンの IP および DNS サーバー エントリは、DHCP によって提供されます。
  • このユーザーは、google.com などの任意のインターネット リソースにアクセスできます。
  • このユーザーは、company.comまたはsubdomain.company.comの Web サイトにアクセスできません(「ホストが解決されていません」というエラーが返されます)。
  • このユーザーがcompany.comnslookupを実行すると、DNS によって提供された正しいパブリック IP アドレスを受け取ります
  • IP アドレスへの HTTP/HTTPS 要求が成功し、Web ページがサーバーによって適切に返されます。
  • この問題は、すべての Web ブラウザに共通しています
  • tracert company.comを使用すると、「ターゲット システム名を解決できません」というメッセージが返されます
  • ping company.comを使用すると、 「ホスト company.com が見つかりませんでした」が返されます。
  • 要求が失敗する前/失敗したときにクライアントで Wireshark を実行すると、クライアント マシンからパケットが送信されません (DNS 解決または最初の HTTP/ping/tracert 要求のいずれか)。
  • DNS クライアント サービスを再起動しても問題が解決しない
  • DNS クライアント サービスを停止しても問題が解決しない
  • ipconfig /flushdnsを使用しても、この問題は解決されません
  • route /fを使用しても、この問題は解決しません
  • netsh int ip resetを使用してネットワーク接続をリセットしても、この問題は解決しません
  • 編集: nslookup はこのシナリオで実行され、ユーザーが使用するネットワークの DHCP 設定で指定された DNS サーバーから適切な DNS レコードを正しく返します

シナリオ 3:

  • 個人の (ドメインに参加していない) Windows 7 Professional コンピューターのこの同じユーザーは、ローカル ネットワークに接続すると、 company.comおよびsubdomain.company.comの Web サイトにアクセスできます。
  • 編集: nslookup はこのシナリオで実行され、内部 DNS サーバー (172.16.1.3) から適切な DNS レコードを正しく返します。

シナリオ 4:

  • 個人の (ドメインに参加していない) Windows 7 Professional コンピューターのこの同じユーザーは、ホーム ネットワークに接続すると、 company.comおよびsubdomain.company.comの Web サイトにアクセスできます。
  • 編集: nslookup はこのシナリオで実行され、ユーザーが使用するネットワークの DHCP 設定で指定された DNS サーバーから適切な DNS レコードを正しく返します

最終的な注意:

この問題は、会社所有のすべてのコンピューターに影響するように一般化されているようです。8 月にロードされたばかりの、会社所有のすべてのコンピューターに共通のシステム イメージを使用しています。私は可能な解決策を求めてインターネットを精査してきましたが、これまで手ぶらでやってきました。提案やアドバイスがあれば本当に感謝しています。

4

1 に答える 1