루트 도메인 이름을 Active Directory 포리스트 이름으로 사용하는 것이 좋지 않은 이유 에 대한이 이전 질문과 관련하여 ...
저는 단순성과 정직성을 위해 ITcluelessinc라고하는 고용주가 있습니다. 이 고용주는 외부 호스팅 웹 사이트 인 www.ITcluelessinc.com 과 몇 가지 Active Directory 도메인을 보유하고 있습니다. 수년 전 IT에 대해 우연히 모르기 때문에라는 Active Directory 포리스트에 자신을 설정하고 ITcluelessinc.prv말할 수없는 공격을 수행했습니다. 말로 표현할 수없는이 잔학 행위는 결국 그들을 따라 잡았고, 주변의 모든 것이 무너지면서, 누군가에게 "고정"하기 위해 엄청난 돈을 지불하기로 결정했습니다 ITcluelessinc.prv.
물론 IT에 대한 실마리가 없었기 때문에 IT 전문가가 들었을 때 좋은 조언을 알지 못했고 새로운 AD 포리스트의 이름을 지정하라는 권고를 받아들 ITcluelessinc.com였으며, 그들이 얻은 건전한 조언 대신 그에 대한 정보를 입기 시작했습니다. 몇 시간 전에 빨리, 그리고 우리는 대부분의 물건이 오래된 ITcluelessinc.prvActive Directory 포리스트에 가입되어 있고이를 사용하는 회사를 보유하고 있으며 상당한 양의 새로운 물건이 ITcluelessinc.com포리스트에 가입 및 / 또는 사용되었습니다 . 이 작업을 비교적 원활하게 수행하기 위해 DNS의 조건부 전달자를 사용하여 ITcluelessinc.com트래픽 을 (으)로 전송했습니다 ITcluelessinc.prv.
( corp.ITcluelessinc.com및 eval.ITcluelessinc.com도메인은 내가 이름을 지정하고 나중에 설정 한 도메인 이름이며 아직 관련이 없습니다.)
몇 시간 전, ITcluelessinc의 비 기술적 직원은 워크 스테이션 (ITcluelessinc 회사 네트워크 내부)에서 www.ITcluelessinc.com 을 탐색 할 수 없다는 사실을 발견 했으며 이것이 문제라고 판단했습니다. 이를 결정하는 ITcluelessinc의 VIP 직원은 대부분의 Ricky-tick을 해결해야합니다. 일반적으로 별다른 문제가 아닌 www에 대한 DNS 영역 아래에 A 레코드를 추가 ITcluelessinc.com하면 노출 된 링크를 시도하지 않는 한 사이트를 탐색 할 수 있습니다.
따라서 모든 설정이 올바르게 된 것 같습니다. 전달자, wwwDNS의 호스트 항목 및 ITcluelessinc.prvDNS 서버로 도메인 컨트롤러를 사용하는 클라이언트는 홈 네트워크에서 가져온 웹 페이지 대신 www.ITcluelessinc.com 을 탐색하려고 할 때 연결 시간이 초과됩니다 .
아무도 내가의 내부 클라이언트 허용 할 수 방법에 대한 어떤 생각이 있는가 ITcluelessinc.prv찾아보기로 도메인을 www.ITcluelessinc.com 의 존재 부여, ITcluelessinc.comActive Directory 포리스트하고 필요로하는 조건 전달자를? 아니면 다른 방법으로 ITcluelessinc.comActive Directory 포리스트를 제거하는 것이 유일한 방법이라고 확신하는 사람이 있습니까?
지금 은 설정 이 작동하는 것처럼 보이지만 명확하지 않으며 테스트 환경을 어디서 테스트했는지 알 수 없습니다. 그리고 가치가있는 것을 위해, 나는 이것을 고치는 유일한 방법은 내가 설정 한 올바르게 이름이 지정된 숲으로 마이그레이션하는 것이라고 제안했습니다. 우리 가 휴식의 때까지 도메인 컨트롤러 다 .ITcluelessinc.com
NS입니다. 방화벽이 DC에서 외부를 향한 DNS 서버로의 통신을 허용하면 악의를 경감시키고 공개 기록을 공개 서버에서 관리 할 수 있습니다.
www이름 을 확인하려고 시도하는 NXDomain DNS 응답을 받 습니까? 아니면 잘못된 주소를 받습니까? 또는 대안으로 올바른 주소를 가져 오지만 해당 주소에 연결할 수 없습니다 (웹 사이트가 네트워크 내부의 서버에서 호스팅되어 헤어핀 NAT 문제가 발생 했습니까)?