Reorganizacja domeny: Rozdzielenie ruchu wewnętrznego i zewnętrznego DNS

Cześć Wam.
Potrzebuję pomocy.
Reorganizuje całą domenę w firmie. Stawiam wszystko od zera i chyba nie skorzystałem z najlepszych praktyk Microsoft a mianowicie stworzyłem domenę o pewnej nazwie powiedzmy że dla przykładu będzie to szkolenie.pl 192.168.0.1 Domena ma taką samą nazwę jak strona www która jest na zewnętrznym hostingu o adresie np. 150.150.150.1
Jeśli ktoś chce uruchomić z Internetu stronę www.szkolenie.pl czy szkolenie.pl (certyfikaty dodane)nie ma problemu natomiast jeśli uruchamiam ją z sieci wewnętrznej to DNS zwraca adres domeny AD 192.168.0.1. Dodałem rekord A o nazwie www który podstawił pełną nazwę FQDN www.szkolenie.pl i uruchamia elegancko stronę www bo kieruje na adres 150.150.150.1 i teraz jak zrobić aby linki/strony które otwierają się poprzez https:// również działały wewnątrz? Drugi rekord bez www czyli samo szkolenie.pl to cały ruch domeny AD leci na 150.150.150.1

ISS, Nginx czy Apache odpada.
Na fortigate robiąc przekierowanie to również przekierowuje od razu cały ruch co blokuje mi inne komunikacje. A może da się?

Czy są jakieś alternatywy na powyższe?Czy szybciej postawić nową domenę z inną nazwą?

Pytanie jak rozdzielić ruch z wewnątrz tak aby ktoś kto chce odpalić www, https szedł na zewnątrz a ktoś kto chce odpytać o usługi AD szedł do wewnątrz.
Oby dwie opcje są pod adresem szkolenie.pl
Jak to rozdzielić?

Zacznijmy od tego jakim sprzętem dysponujesz i czy ta domena jest zarejestrowaną domeną czy jest na twoim serwerze. Drugą rzeczą jest to że jeżeli dobrze rozumiem gdy ktoś z zewnątrz wysyła zapytanie DNS wtedy DNS odpowiada zewnętrznym adresem IP, a gdy zapytanie jest wysłane z wewnątrz to zwraca ci adres IP twojego routera brzegowego?

>>21363590 Domena jest zarejestrowana. Jeśli zapytanie jest z zewnątrz to DNS zewnętrzny zwraca 150.150.150.1 i tu jest ok jeśli zapytanie jest z wewnątrz to zwraca mi adres domeny 192.168.0.1

>>21364386 …ale są firmy, w których to działa. Dnsowi można pomóc. Split DNS. Narazie zrobiłem dwa rekordy A, jeden kieruje na 192….., i drugi A, ten sam, który kieruje na 150…. I to zaczęło śmigać. Problem w tym, że zanim przeglądarka wyświetli stronę, to długo szuka rozwiązania nazwy, bo musi dojść do tego zewnętrznego, ale później w z cache ładuje, więc spoko.

atommek napisał:

ale są firmy, w których to działa.

Bo zazwyczaj ich serwer DNS odpowiada na zapytania publiczne, a potem zazwyczaj rekordem A odpowiada na pytania o serwisy www, zaś rekordami SRV odpowiada na pytania związane z domeną AD.

Zrób dump bazy DNS jako kopię zapasową i spróbuj ręcznie zmodyfikować wpisy A, zaś nie ruszaj wpisów SRV.

Rekordy SRV są zawsze, bo to one choćby wskazują na kontrolery AD. Ale osobiscie nigdy jakoś nie grzebałem w tym ręcznie zbyt wiele. Jedynie jak grzebałem, to jakieś czyszczenie czy naprawy w DNS po nieudanej promocji lub degradacji kontrolera.

Klient AD nie ma nigdzie podanego adresu serwera AD. Dlatego wysyła zapytanie o konkretne usługi (ldap, kerberos). Serwer DNS informacje o tych usługach ma w rekordzie SRV i taką da odpowiedź (napisze, że usługi kerberos są np na serwerze DC-03.xyz.local). Potem sobie jeszcze host musi znaleźć adres IP tego serwera poprzez kolejne zapytanie o rekord A lub AAAA lub w inny sposób (hosts, local cache itp).

W DNS z AD są rekordy SRV typu gc, kpasswd, kerberos i ldap, które wskazuja na nazwy domenowe serwerów świadczących daną usługę (bo te usługi nie muszą być na jednym serwerze, choć realnie są na jednym w małych wdrożeniach). Potem mamy rekordy A/AAAA do znalezienia tych serwerów. Do tego jeszcze są rekordy NS dla określenia innych serwerów DNS oraz rekordy SOA.

Erbit napisał:

A to jakim cudem ten sam rekord A raz będzie wskazywał na IP publiczne a innym razem na IP lokalne (bo de facto o to pyta autor tematu) ?

Nie wnikałem nigdy jak by ten problem rozgryźć. Są jeszcze opcje stref i lokacji w domenie dla dużych struktur, można odpowiadać różnymi adresami dla różnych zapytań, np z różnych interfejsów. Ale nigdy nie miałem takiej potrzeby realnie, a jakoś nie chciało mi się wnikać "sztuka dla sztuki", bo i tak człowiek za rok szczegóły zapomni i od nowa nauka jak sie nie uzywa na bieżąco.

Ogólnie to ja nie widzę innej możliwości niż splitowanie DNS po lokacjach na różne rekordy A.
Osobiście, to bym zrobił szybką akcję i dostawił subdomenę w lesie na zasadzie ad.mojafirma.com. Wystarczy tylko potem tylko dodatkiwy kontroler na tym samym hiperwizorze i zmigrować hosty i userów z mojafirma.com do ad.mojafirma.com.

Nie mam możliwości od tak zakupienia licencji na nowy kontroler, aby subdomenę stawiać. Wcześniej było takie rozwiązanie, że był i jest hosting szkolenie.pl a wewnętrzna domena ad.szkolenie.pl ale bazując na poprzednich firmach, gdzie nazwy były te same postanowiłem tak samo zrobić. (Nie mam kontaktu z tymi ludźmi) . Nie wziąłem tylko pod uwagę tego aspektu , że mogą być dodatkowe ustawienia a teraz zaszło już za daleko, aby to zmienić. Migracja do chmury Azure mając domenę szkolenie.pl gdzie adresy mailowe mają @szkolenie.pl jest łatwiejsze ale pomijamy to....

Mój zewnętrzny DNS rozwiązuje publiczne nazwy, a na moim wewnętrznym DNSie ustawiłem dwa rekordy A

HOST to www
Nazwa FQDN www.szkolenie.pl
adres IP 150.150.150.1

oraz drugi

HOST to "Identyczny jak folder nadrzędny"
Nazwa FQDN szkolenie.pl
adres IP 150.150.150.1

Przepraszam, że wcześniej napisałem, że drugi rekord ma adres 192.168.0.1 za szybko pisałem niż myślałem.
Reasumując wcześniej gdy miałem tylko wpis A o nazwie www to tylko po wpisaniu strony www.szkolenie.pl strona uruchamiała się a problem polegał na tym, że pracownicy tworzyli różne podstrony o nazwie https://szkolenie.pl generowali linki i tu DNS miał problem, aby to rozwiązać.

Dodając drugi rekord z nazwą szkolenie.pl zaczęło to śmigać. Problem tylko taki, że pierwsze uruchomienie strony trwa minutę zanim przeglądarka "dopcha" się do odpowiedniego DNSa aby to rozwiązać, potem jest ok.
Dodanie tego drugiego rekordu pozwoliło mi dodawać również komputery do domeny gdzie bez tego nie byłem wstanie tego zrobic.

Ping na DC01 zwraca 192.168.0.10
Ping na szkolenie.pl zwraca 150.150.150.1

Lokalne dnsy na stacji to 192.168.0.10 oraz 0.11 to tez adresy kontrolerów

SOA to dc01.szkolenie.pl
NS dc01.szkolenie.pl
NS dc02.szkolenie.pl
Rekord A z FQDN szkolenie.pl z adresem 192.168.0.10
Rekord A z FQDN szkolenie.pl z adresem 192.168.0.11

Czyli nie trzeba tworzyć subdomeny ad.szkolenie.pl aby rozwiązywanie nazw działało przy tej samej domenie AD co hostowany serwis www
Jeśli PC chcemy dodać do domeny potrzebujemy TCP/IP LDAP DNS KERBEROS SMB więc najpierw leci zapytanie do DNS który lokalnie zwróci rekord A z adresem kontrolera 192.168.0.10 i pozwoli go dodać. Jeśli chcemy wyszukać strony szkolenie.pl DNS wyszuka rekordu A z adresem 150.150.150.1 i przekieruję go do www.

Tak to widzę...
Problem tylko z czasem wyszukania gdy pierwszy raz wpisujemy w przeglądarce szkolenie.pl to 20-30 sekund czekam, można to jakoś gdzieś w ustawieniach przyśpieszyć?

Zaznaczam, że nie edytowałem rekordów SRV. Mam tylko dwa z nazwą _ldap z danymi domeny dc01.szkolenie.pl

„Czy nie ma podwójnego wpisu do rekordu A”?
DNS nie pozwoli czegoś zdublować, chyba że o coś innego pytasz?

Po zainstalowaniu kontrolera, DNS domyślnie utworzył rekord SRV z usługą _ldap na porcie 389 do hosta dc01.szkolenie.pl

Rozumiem, że może on odpowiadać za poprawne wskazanie dodania PC do domeny.
Sugerujesz, aby dodać jeszcze dla DNS KERBEROS SMB oraz dodatkowy dla http,https

Tylko napisz proszę jeśli masz wiedzę dlaczego pomimo braku tych rekordów SRV o których piszesz aby dodać, jest wszystko ok?
Te dwa rekordy A które zrobiłem + ten który domyślnie powstał SRV _ldap nie wystarczy?

Czy może to wpłynąć na coś jeśli nie zrobie tego tak jak sugerujesz?
Czy ten dodatkowy SRV dla portów 80,443 może coś dodatkowo wnieść, pomimo już działającego schematu?
Przyspieszy zamulone otwieranie stron?