其实很早之前我就遇到过这个问题。举个例子,当时的状态是Internet上已经存在yahoo.com这个域名,提供了诸如www, news, ftp等各种服务,且这个域名显而易见是不属于我们公司维护与控制。然后呢,我们公司接了yahoo的一部分外包业务,在本公司招了一百多人开始干活,当然域环境是少不了的,当时我把域名设置成了yahoo.com。一开始没什么问题,直到有一天,用户们提出要访问yahoo本身的那些网站了,由于在本地yahoo.com域中,是不存在www这种主机的,所以用户们当然就访问不了。最后的解决办法也只能是我在DNS服务器上逐条添加那些Internet主机的A记录了。打那次之后,我对公司内部域名的选择一律改成诸如yahoo.local这样的格式了。
时至今日,我在网上看到了一篇文章,讲的也是这个,虽然对文中的两点还有所疑惑,但是大致解决办法和我的差不多,摘抄如下:
有这样一个问题或者说技术知识点,关于DNS的,如果在内部的DNS服务器(很多情况下都是ADDC)上找到了权威区域,那么不管客户端的解析请求在DNS中是否存在,客户端都只认该DNS所响应的解释! 举个栗子:如果我有个内部活动目录域,域名叫ilijin.cn,并且我在公网上有个博客叫www.ilijin.cn,那么我内部所有的客户端都访问不到该博客了! 原因就是,访问的www.ilijin.cn这个互联网上的www主机,它所在的域是ilijin.cn;而我本地DNS服务商已经有这个权威区域了,就是我的AD域名,由于并没有找到www这个主机的记录,即使这个www.ilijin.cn记录在公网上真的存在,那DNS也不会把该请求通过根提示或者转发器转到公网把正确的结果返回给客户端,而是直接告诉客户端,这个主机记录在我的正向解析区域(权威区域)并没有!但是你必须相信我的也只能相信我的!既然客户端既然在域内,它的DNS绝大多数情况下都是指向该域内的DNS,也就意味着他会对本地DNS的回复深信不疑!进而导致无法访问实际上存在的www.ilijin.cn公网主机(不管这个主机是虚拟主机还是虚拟机) 那么到底如何解决该问题呢? 通过内部DNS中添加该主机记录,直接指向公网www.ilijin.cn所对应的真实公网IP地址! 这里需要注意两点: 1.如果公网现有的www.ilijin.cn这台主机是跑在虚拟主机(IIS中的虚拟目录或者Apache的虚拟主机) 那内部DNS的A记录只能与公网保持一致,例如公网www.ilijin.cn [121.42.124.4],那内部的DNS中A记录也只能是www.ilijin.cn对应该地址,如果是bbs.ilijin.cn对应的改地址,访问就无法进行了。 2.如果公网现有的www.ilijin.cn这台主机是跑在虚拟机(Windows中的IIS默认网站,或者Apache中的默认网站) 那内部的DNS的A记录可以随便写,例如公网是一个配置了121.42.124.4的公网IP的Windows Server 虚拟机,通过IP地址直接就能访问,内部的A记录可以是任意的,譬如公网访问通过www.ilijin.cn,而内部完全可以用bbs.ilijin.cn,只要IP 指向改地址就可以了。 总结:如果是内外部域名一致,而在公网上有托管的一些譬如Web门户,公网邮箱的服务,一定要注意妥善处理好本地DNS中的解析记录。避免内部用户访问出现问题。 最佳实践吧,不一定是最佳的,因为是我总结的。。。 那么如果出现了当前公网域名已经注册好了就是ilijin.cn,而内部AD域还没建立的情况下,到底是要内外部一致还是不一致呢?或者说,内部AD域名已经固定了,公网应该怎么注册域名了,如果还没有被其他人注册,那么你要做的就是迅速拿下这个域名!并且持有很长一段时间,切记保持支付宝有钱,防止域名过期被回收。 虽然针对不同的需求还是具体来看,如果能很好的理解以上所描述的问题,推荐还是内外部一致,对客户端的访问来说会很有好处,对服务的公网发布也有方便之处。 另外,如果企业目前没有邮件服务器在内部,而是使用163、QQ、阿里等公网提供的企业邮箱,一样需要考虑这个问题!内部应该通过两种记录:CName和MX记录与公网实际的指向保持一致。否则用户不仅仅登陆不到邮箱的Web界面,通过Outlook收发邮件也就更不可能。 举个栗子:公网在阿里注册的企业邮箱,域名是izure.cn,自动添加了如下记录,其中核心的就是MX记录和CName记录。 那么在内部DNS就应该跟这个保持严格一致!在正向区域中,添加与公网一致的5条记录。
参考:
http://www.ilijin.cn/2015/07/22/企业内部ad域名和公网域名一致注意点/