我在 Windows Server 2012 R2 上有一个 DirectAccess 服务器。它对我的大多数客户端都运行良好。但是,我有一个客户端 (Windows 8.1),它上面有一个旧的组策略,其中包含错误的 IP-HTTPS URL,因此它无法连接到 DirectAccess 服务器。我需要以某种方式更新这台计算机上的组策略,以便它能够获得正确的新设置,但不幸的是,它位于大陆的另一边,我无法将它连接到内部网络并更新策略。因此,我一直在尝试通过 VPN 连接它,以便以这种方式更新策略。
我尝试过使用 PPTP VPN(Windows Server 2012 R2 中内置于远程访问的系统)和 OpenVPN 连接它。这两种方式都遇到了同样的问题。运行GPUpdate返回错误
由于缺少与域控制器的网络连接,组策略处理失败。
因此,显然即使使用 VPN 连接,它也无法访问域控制器。我对此感到很困惑,因为我可以 ping 域控制器的 IP 地址,但 FQDN 无法解析。例如,如果 ActiveDirectory/DomainControl 服务器的 IP 地址为DomainControl.mynetwork.local,我可以正常10.198.0.2运行,但运行或仅从客户端运行会返回错误ping 10.198.0.2ping DomainControl.mynetwork.localping DomainControl
Ping 请求无法找到主机 DomainControl.mynetwork.local。请检查名称并重试
有趣的是,如果我尝试,nslookup DomainControl.mynetwork.local它会返回正确的地址10.198.0.2。
总之,我似乎无法更新组策略,因为域控制器的 FQDN 无法在 VPN 客户端上解析(显然 GPUpdate 使用 FQDN 而不是 IP 地址来访问域控制器?)。这似乎不是 VPN 上的 DNS 问题,因为 nslookup 可以很好地解决它。我不知道下一步该怎么做。
编辑:为了帮助缩小问题发生的位置,我设置了 Wireshark 捕获来检查 DNS 请求。nslookup一切看起来都很好,但当我尝试时,ping它甚至没有发出 DNS 请求。看起来出于某种原因,它甚至没有尝试从 DNS 服务器查找它。此外,通过 VPN 连接时 ping 外部服务器(例如ping www.google.com)会返回有效响应。
编辑#2:使用 Wireshark 进行更多实验后显示以下内容,这可能有助于调试:
ping DomainControl不发送任何请求ping DomainControl.发送 NBNS/NetBIOS 请求,返回“请求的名称不存在”ping DomainControl.mynetwork发送返回“无此名称”的 DNS 请求ping DomainControl.mynetwork.发送与上一个相同ping DomainControl.mynetwork.loca发送返回“无此名称”的 DNS 请求ping DomainControl.mynetwork.local不发送任何请求ping DomainControl.mynetwork.local.不发送任何请求