Nous sommes une petite organisation de 300 places avec un environnement mixte BYOD et Active Directory (Windows Server 2012 Standard, Windows 7 Enterprise) et nous rencontrons un problème très étrange impliquant des échecs de portée très spécifique pour résoudre le nom de domaine de notre organisation sur notre domaine -machines jointes contrôlées par l'entreprise. Aux fins de cette discussion, j'utiliserai company.com au lieu de notre nom de domaine.
Contexte:
- Le contrôleur de domaine Active Directory est situé au 172.16.1.3
- La machine AD / DC exécute également DHCP, DNS et HTTP (IIS)
- Les sites Web de nos organisations sur company.com et subdomain.company.com sont hébergés par IIS sur la machine AD / DC
- Nous avons un scénario DNS fractionné dans lequel le serveur AD / DC est utilisé pour la résolution DNS interne, mais un serveur différent hors site fournit une résolution DNS pour les requêtes publiques
- L'adresse IP correspondant à company.com et subdomain.company.com est l'adresse IP publique utilisée par un pare-feu en bordure de notre réseau (à la fois sur le serveur DNS AD / DC et le serveur DNS hors site)
- Le pare-feu est correctement configuré pour que NAT transmette les requêtes HTTP et HTTPS qu'il reçoit sur son adresse IP publique à l'IP interne du serveur AD / DC et reflète
Scénario 1:
- Un utilisateur sur une machine Windows 7 Enterprise appartenant à un domaine est connecté directement à notre réseau local avec l'adresse locale 172.16.6.100 / 16, émise par le serveur DHCP.
- L'entrée du serveur DNS est fournie par DHCP (172.16.1.3)
- Cet utilisateur peut accéder aux sites Web hébergés sur company.com et subdomain.company.com
- Edit: nslookup a été exécuté dans ce scénario et renvoie correctement l'enregistrement DNS approprié à partir du serveur DNS interne (172.16.1.3)
Scénario 2:
- Le même utilisateur sur la même machine Windows 7 Enterprise appartenant au domaine rentre chez lui et se connecte à Internet à l'aide de son FAI résidentiel
- Les entrées de serveur IP et DNS pour la machine client sont fournies par DHCP
- Cet utilisateur peut accéder à toutes les ressources Internet, telles que google.com
- Cet utilisateur ne peut pas accéder au site Web à company.com ou subdomain.company.com (une erreur "hôte non résolu" est renvoyée)
- Lorsque l' utilisateur exécute ce NsLookup sur company.com ils NE reçoivent l'adresse IP publique correcte fournie par DNS
- Les requêtes HTTP / HTTPS à l'adresse IP réussissent et une page Web est renvoyée correctement par le serveur
- Ce problème prévaut dans tous les navigateurs Web
- L'utilisation de tracert company.com renvoie «impossible de résoudre le nom du système cible»
- L'utilisation de ping company.com renvoie "impossible de trouver l'hôte company.com"
- Lors de l'exécution de Wireshark sur le client avant / pendant une demande ayant échoué, aucun paquet n'est envoyé par la machine cliente (que ce soit pour la résolution DNS ou pour une demande HTTP / ping / tracert initiale)
- Le redémarrage du service client DNS ne résout pas le problème
- L'arrêt du service client DNS ne résout pas le problème
- L'utilisation d' ipconfig / flushdns ne résout pas ce problème
- L'utilisation de route / f ne résout pas ce problème
- La réinitialisation des connexions réseau à l'aide de netsh int ip reset ne résout pas ce problème
- Modifier: nslookup a été exécuté dans ce scénario et renvoie correctement l'enregistrement DNS approprié à partir du serveur DNS spécifié par les paramètres DHCP du réseau utilisé par l'utilisateur
Scénario 3:
- Ce même utilisateur sur un ordinateur Windows 7 Professionnel personnel (non joint à un domaine) peut accéder aux sites Web à company.com et subdomain.company.com lorsqu'il est connecté à notre réseau local
- Edit: nslookup a été exécuté dans ce scénario et renvoie correctement l'enregistrement DNS approprié à partir du serveur DNS interne (172.16.1.3)
Scénario 4:
- Ce même utilisateur sur un ordinateur Windows 7 Professionnel personnel (non joint à un domaine) peut accéder aux sites Web à company.com et subdomain.company.com lorsqu'il est connecté à son réseau domestique
- Modifier: nslookup a été exécuté dans ce scénario et renvoie correctement l'enregistrement DNS approprié à partir du serveur DNS spécifié par les paramètres DHCP du réseau utilisé par l'utilisateur
Notes finales:
Ce problème semble être généralisé pour affecter tous les ordinateurs appartenant à l'entreprise. Nous utilisons une image système commune pour tous les ordinateurs appartenant à l'entreprise, qui vient d'être chargée en août. J'ai parcouru Internet à la recherche de solutions possibles et j'ai trouvé les mains vides jusqu'à présent - j'apprécie vraiment toutes les suggestions ou conseils que vous pourriez avoir.
www.company.com
mais pas seulement company.com
ou les deux échouent-ils?