網絡瀏覽器中的DNS解析失敗，但nslookup成功

Question

我們是一個擁有混合BYOD和Active Directory環境（Windows Server 2012標準版，Windows 7企業版）的小型，300個座位的組織，我們遇到了一個非常奇怪的問題， -scope未能在我們加入域的公司控制的計算機上解析我們組織的域名。爲了討論的目的，我將使用company.com而不是我們的域名。

背景：

• Active Directory域控制器位於172.16.1.3
• 的AD/DC機同時運行DHCP，DNS和HTTP（IIS）
• 我們組織網站at company.com and subdomain.company.com由AD/DC機器上的IIS託管
• 我們有一個拆分DNS方案，其中AD/DC服務器用於內部DNS解析但不同，場外服務器公共查詢
• 對應於company.com和subdomain.company.com的IP地址是提供DNS解析防火牆在我們網絡邊緣（在AD/DC DNS服務器和場外DNS服務器上）使用的公共IP地址
• 防火牆已正確配置爲使NAT通過其接收的HTTP和HTTPS請求其公共IP地址轉換爲AD/DC服務器的內部IP，並反映出

方案1：

• 加入域的Windows 7企業機器上的用戶與本地地址172.16.6.100/16直接連接到本地網絡，由DHCP服務器發出。
• DNS服務器條目由DHCP提供（172.16.1.3）
• 這個用戶能夠訪問在company.com主辦的網站和subdomain.company.com
• 編輯： NSLOOKUP已經運行了這種情況下，正確地從內部DNS服務器返回適當的DNS記錄（172.16.1.3）

方案2：

• 同樣加入域的Windows 7企業版機器上的相同的用戶回家並利用自己住宅的ISP連接到Internet
• 對客戶機的IP和DNS服務器條目將被DHCP提供
• 此用戶可以訪問任何互聯網資源，如google.com
• 該用戶不能在company.com或訪問網站subdomain.company.com（返回「主機不解決」的錯誤）
• 當這個用戶運行NSLOOKUP在公司。COM他們DO接收DNS提供了正確的公共IP地址
• HTTP/HTTPS請求的IP地址成功，並通過服務器正常返回的網頁
• 在所有網絡瀏覽器
• 本次發行採用盛行tracert命令company.com返回「無法解析目標系統名稱」
• 使用平company.com返回「找不到主機company.com」
• 當運行Wireshark的上客戶端機器發送數據包（DNS解析或初始HTTP/ping/tracert請求）
• 重新啓動DNS客戶端服務不能解決問題
• 停止DNS客戶端服務不能解決問題
• 使用IPCONFIG/FLUSHDNS不能解決此問題
• 使用路線/ F不能解決此問題
• 重新使用的netsh INT IP R上的網絡連接ESET不能解決此問題
• 編輯： Nslookup有在這種情況下被運行，並正確地從用戶使用網絡的DHCP設置中指定的DNS服務器返回正確的DNS記錄

方案3：

• 在個人這同一用戶（不加入域），Windows 7專業版的電腦能夠在company.com訪問網站和subdomain.company.com當連接到本地網絡
• 編輯： Nslookup有在這種情況下被運行，並正確地從內部DNS服務器（172.16.1.3）

返回正確的DNS記錄方案4：

• 個人（不加入域），Windows 7專業版的電腦上同樣的用戶能夠在訪問網站company.com和subdomain.company.com連接家庭網絡時
• 編輯： Nslookup有在這種情況下已運行並正確返回從網絡的DHCP設置中指定的DNS服務器通過使用正確的DNS記錄用戶

最後說明：

這個問題似乎被推廣到所有影響公司擁有的電腦。我們正在爲所有公司擁有的計算機使用通用系統映像，這些計算機僅在8月份加載。我一直在搜尋互聯網尋找可能的解決方案，並且到目前爲止已空手而歸 - 我非常感謝您的任何建議或建議。

Answer 1

這是一個非常有趣的場景。看看你的場景3，使用個人計算機的用戶可以訪問服務，但爲什麼DNS輸入來自公司IP，而不是用戶主DNS。機器是否在公司網絡上？

驗證此：

• 當用戶嘗試從家裏訪問公司電腦上的服務，是通過VPN在家中上網的路由器或公司網絡的IP細節？