DNS रिज़ॉल्यूशन वेब ब्राउज़र में विफल रहता है लेकिन nslookup सफल होता है

हम एक मिश्रित BYOD और सक्रिय निर्देशिका वातावरण (विंडोज सर्वर 2012 स्टैंडर्ड, विंडोज 7 एंटरप्राइज) के साथ एक छोटी, 300-सीट संगठन हैं और हमारे डोमेन पर हमारे संगठन के डोमेन नाम को हल करने के लिए बहुत विशिष्ट-गुंजाइश विफलताओं से जुड़ी एक बहुत ही अजीब समस्या है। -अर्जित, कंपनी-नियंत्रित मशीनें। इस चर्चा के उद्देश्य के लिए, हम हमारे डोमेन नाम के बजाय company.com का उपयोग करेंगे ।

पृष्ठभूमि:

• सक्रिय निर्देशिका डोमेन नियंत्रक 172.16.1.3 पर स्थित है
• AD / DC मशीन DHCP, DNS और HTTP (IIS) भी चला रही है
• हमारी कंपनी की वेबसाइट्स company.com और subdomain.company.com पर IIS द्वारा AD / DC मशीन की मेजबानी की जाती है
• हमारे पास विभाजन-DNS परिदृश्य है जिसमें आंतरिक DNS रिज़ॉल्यूशन के लिए AD / DC सर्वर का उपयोग किया जाता है, लेकिन एक अलग, ऑफ-साइट सर्वर सार्वजनिक प्रश्नों के लिए DNS रिज़ॉल्यूशन प्रदान करता है
• Company.com और subdomain.company.com के संगत आईपी ​​एड्रेस हमारे नेटवर्क के किनारे (AD / DC DNS सर्वर और ऑफ-साइट DNS सर्वर पर) फ़ायरवॉल द्वारा उपयोग किया जाने वाला सार्वजनिक IP पता है
• NAT को HTTP और HTTPS अनुरोधों के लिए सही ढंग से कॉन्फ़िगर किया गया है जो इसे AD / DC सर्वर के आंतरिक आईपी पर अपने सार्वजनिक आईपी पते पर प्राप्त होता है और प्रतिबिंबित करता है

दृष्टांत 1:

• डीएचसीपी सर्वर द्वारा जारी किए गए स्थानीय पते 172.16.6.100 / 16 के साथ एक डोमेन में शामिल विंडोज 7 एंटरप्राइज मशीन पर एक उपयोगकर्ता सीधे हमारे स्थानीय नेटवर्क से जुड़ा हुआ है।
• DNS सर्वर प्रविष्टि डीएचसीपी द्वारा प्रदान की जाती है (172.16.1.3)
• यह उपयोगकर्ता company.com और subdomain.company.com पर होस्ट की गई वेबसाइटों तक पहुँचने में सक्षम है
• संपादित करें: nslookup इस परिदृश्य में चला गया है और सही ढंग से आंतरिक DNS सर्वर (172.16.1.3) से उचित DNS रिकॉर्ड लौटाता है

परिदृश्य 2:

• उसी डोमेन पर शामिल उपयोगकर्ता, विंडोज 7 एंटरप्राइज मशीन घर पर जाता है और अपने आवासीय आईएसपी का उपयोग करके इंटरनेट से जुड़ता है
• क्लाइंट मशीन के लिए आईपी और डीएनएस सर्वर प्रविष्टियां डीएचसीपी द्वारा प्रदान की जाती हैं
• यह उपयोगकर्ता किसी भी इंटरनेट संसाधनों, जैसे कि google.com पर पहुंच सकता है
• यह उपयोगकर्ता company.com या subdomain.company.com पर वेबसाइट का उपयोग नहीं कर सकता (एक "होस्ट हल नहीं हुआ" त्रुटि वापस आ गई है)
• इस प्रयोक्ता रन nslookup जब company.com वे करते सही सार्वजनिक आईपी डीएनएस द्वारा प्रदान पता प्राप्त
• HTTP / HTTPS IP पते के लिए अनुरोध सफल होता है और सर्वर द्वारा एक वेबपेज ठीक से वापस आ जाता है
• यह समस्या सभी वेब ब्राउज़रों में व्याप्त है
• Tracert company.com रिटर्न का उपयोग करना "लक्ष्य प्रणाली नाम को हल करने में असमर्थ"
• Ping company.com रिटर्न का उपयोग करके "host company.com नहीं मिल सका"
• विफल अनुरोध के पहले / दौरान क्लाइंट पर विंडशार्क चलाते समय, ग्राहक मशीन द्वारा कोई पैकेट नहीं भेजा जाता है (या DNS रिज़ॉल्यूशन के लिए या प्रारंभिक HTTP / पिंग / ट्रैसर्ट अनुरोध के लिए)
• DNS क्लाइंट सेवा को पुनरारंभ करने से समस्या हल नहीं होती है
• DNS क्लाइंट सेवा को रोकना समस्या का समाधान नहीं करता है
• Ipconfig / flushdns का उपयोग करने से यह समस्या हल नहीं होती है
• मार्ग / f का उपयोग करने से यह समस्या हल नहीं होती है
• नेट्स इंट आईपी रीसेट का उपयोग करके नेटवर्क कनेक्शन को रीसेट करने से यह समस्या हल नहीं होती है
• संपादित करें: nslookup इस परिदृश्य में चलाया गया है और उपयोगकर्ता द्वारा उपयोग किए जाने वाले नेटवर्क के डीएचसीपी सेटिंग्स द्वारा निर्दिष्ट DNS सर्वर से उचित DNS रिकॉर्ड लौटाता है

परिदृश्य 3:

• व्यक्तिगत पर एक ही उपयोगकर्ता (डोमेन में शामिल नहीं) विंडोज 7 व्यावसायिक कंप्यूटर company.com पर वेबसाइटों तक पहुँचने में सक्षम है और subdomain.company.com हमारे स्थानीय नेटवर्क से जुड़ा होने पर
• संपादित करें: nslookup इस परिदृश्य में चला गया है और सही ढंग से आंतरिक DNS सर्वर (172.16.1.3) से उचित DNS रिकॉर्ड लौटाता है

परिदृश्य 4:

• व्यक्तिगत पर एक ही उपयोगकर्ता (डोमेन में शामिल नहीं) विंडोज 7 व्यावसायिक कंप्यूटर company.com पर वेबसाइटों का उपयोग करने में सक्षम है और subdomain.company.com जब उनके घर नेटवर्क से जुड़े
• संपादित करें: nslookup इस परिदृश्य में चलाया गया है और उपयोगकर्ता द्वारा उपयोग किए जाने वाले नेटवर्क के डीएचसीपी सेटिंग्स द्वारा निर्दिष्ट DNS सर्वर से उचित DNS रिकॉर्ड लौटाता है

अंतिम नोट्स:

यह समस्या सभी कंपनी के स्वामित्व वाले कंप्यूटरों को प्रभावित करने के लिए सामान्यीकृत लगती है। हम सभी कंपनी के स्वामित्व वाले कंप्यूटरों के लिए एक सामान्य प्रणाली की छवि का उपयोग कर रहे हैं, जिसे अभी अगस्त में लोड किया गया था। मैं संभावित समाधानों की तलाश में इंटरनेट को बर्बाद कर रहा हूं और अब तक खाली हाथ आया हूं - मैं वास्तव में आपके किसी भी सुझाव या सलाह की सराहना कर सकता हूं।

कंप्यूटर से जुड़ने वाले डोमेन अपने DC की तलाश में रहते हैं, न कि केवल DNS आधारित लुकअप करने के लिए। चूंकि डोमेन सार्वजनिक वेबसाइट के समान है, इसलिए वे यह बताने के लिए एसआरवी रिकॉर्ड की खोज करने जा रहे हैं कि वे डीसी को कैसे प्राप्त करें और डोमेन जानकारी प्राप्त करें। चूंकि दूरस्थ नेटवर्क में कोई DC नहीं है, वे सामान्य AD जागरूक विंडो भागों का उपयोग करके इस नाम को हल नहीं कर सकते।

जब आप किसी भी विंडोज एप्लिकेशन को पिंग या (लगभग) उपयोग करते हैं, तो यह पूर्ण विंडोज आईपी स्टैक का उपयोग करता है, जिसमें एडी से बात करने वाले भाग भी शामिल हैं। जबकि NSLookup वास्तव में सिर्फ एक DNS क्वेरी करता है। आपने अपने Wireshark निशानों के साथ इसे सत्यापित कर लिया है, company.com पर आने की कोशिश करते समय Windows द्वारा कोई लुकअप नहीं किया जाता है, लेकिन nslookup एक उचित DNS लुकअप दिखाता है। यही कारण है कि आप पिंग या वेब ब्राउज़र के माध्यम से डोमेन को हल करने में असमर्थ हैं, लेकिन nslookup ठीक है।

इस के पहले भाग का हल www.company.com का उपयोग करना है ताकि वेबसाइट को आंतरिक और बाह्य रूप से प्राप्त किया जा सके ताकि ग्राहक पूरी तरह से डीसी की तलाश में नजरअंदाज कर दें।

दूसरे भाग के लिए समाधान पेचीदा है जो सबडोमेन डॉट कॉम पर निर्भर करता है। आंतरिक रूप से और साथ ही बाहरी रूप से भी। क्या DC के पास उपडोमेन के लिए DNS रिकॉर्ड है, या क्या वे अनुरोध केवल बाहरी DNS सर्वर पर भेजे गए हैं? यदि इसका DNS रिकॉर्ड है, तो वह रिकॉर्ड कहां है?

मैं HOSTS फ़ाइल की जाँच करेगा ( http://en.wikipedia.org/wiki/Hosts_%28file%29#Location_in_the_file_system ) मशीन पर उन मेजबानों के लिए कोई प्रविष्टि नहीं है जिन्हें आप प्राप्त करने की कोशिश कर रहे हैं। मुझे लगता है कि NSLOOKUP उपकरण मेजबानों फ़ाइल को बायपास करता है, लेकिन वेब-ब्राउज़र नहीं करेगा।

मैं यह भी जाँचता हूँ कि आपके पास वेब-ब्राउज़र में एक प्रॉक्सी कॉन्फ़िगर नहीं है क्योंकि कुछ प्रकार की प्रॉक्सी भी DNS को हल करती हैं।

मैं भी IE ("iexplore -extoff") या फ़ायरफ़ॉक्स (शुरू या "फ़ायरफ़ॉक्स -सैफ़-मोड") पर शिफ्ट कुंजी दबाए रखने के साथ अपने "सुरक्षित मोड" में ब्राउज़र (यानी सभी addons और plugins के साथ अक्षम) चलाने की कोशिश करेंगे।

आदर्श रूप से यदि संभव हो तो वेब-ब्राउज़र या ओएस को संकीर्ण करने के लिए किसी अन्य वेब-ब्राउज़र के साथ प्रयास करें।

फिर अगर मुझे अभी भी कहीं नहीं मिल रहा है, तो मैं जांच करूंगा कि नेटवर्क एडाप्टर के लिए कौन सी सेवाएं बाध्य हैं (रास्ते में होने वाले विशिष्ट नियमों के साथ पागल फ़ायरवॉल?)

अंत में, और यह तेजी से असंभव नहीं है, लेकिन NSLOOKUP कंप्यूटर या कनेक्शन विशिष्ट डोमेन नाम को प्रश्नों पर स्वचालित रूप से जोड़ देगा। उदाहरण के लिए मेरा राउटर डोमेन राउटर को "राउटर" के रूप में सेट करता है, इसलिए "मैथ्यू" जैसी किसी चीज़ के लिए कोई भी nslookup वास्तव में "मैथ्यू.उउटर" के लिए डीएनएस खोजता है, यह संभव है कि वेब-ब्राउज़र ऐसा नहीं कर रहा है .. जैसा कि आपने कहा कि आपने एक पैकेट किया था। कैप्चर करें, ऐसा नहीं लगता कि यह आपकी समस्या है .. लेकिन यदि आपने इसे पैकेट कैप्चर में मिस कर दिया है या आपका कैप्चर एनवायरनमेंट सही नहीं है तो :-)।

ये चीजें हैं जो मैं कोशिश करूंगा और उम्मीद है कि यह आपकी भी मदद करेगा :-)।