我的基本问题是“为什么来自 TMG 服务器本身的 DNS 查询首先转到 VPN DNS 服务器,而不是内部 NIC 上配置的 ISP DNS 服务器?”
更多详细信息和诊断如下
我有 TMG 防火墙
- 3 个 NIC(内部、外部、DMZ),网络绑定顺序为
- 第一 = 内部,
- 外部的,
- 非军事区,
- 最后 = (远程访问连接)
- 多个 PPTP 站点到站点 VPN
- 运行的 DNS 服务
- 存根区域到我的内部 Active-Directory DNS 域
- 设置转发器到我的 ISP 的 DNS 服务器
- 内部 NIC 的 DNS 服务器设置为其自身,所有其他 NIC 的 DNS 条目为空白
DHCP 已配置,因此客户端将其 DNS 服务器设置为 TMG 服务器
如果我在 TMG 服务器上运行网络跟踪并根据(tcp.port == 53 或 udp.Port == 53)和(ipv4.address == 10.xxx 或 ipv4.Address == )进行过滤
例如,当我从启用了防火墙客户端的客户端 ping zzzzz.com 时,我观察到 - 没有来自客户端的 DNS 请求,由此我得出结论,DNS 请求来自防火墙客户端控制通道 - zzzzz.com 的 DNS 请求发送到所有各种站点到站点 VPN DNS 服务器,然后最终到达外部 ISP DNS 服务器 - 大约 12 秒后,客户端直接向 TMG 发送 DNS 请求并立即得到响应
如果我禁用防火墙客户端或直接从客户端执行 nslookup,那么在不到 1 秒的时间内我会看到 - 来自客户端的 DNS 请求 - 对外部 ISP DNS 服务器的 DNS 请求和响应 - 对客户端的 DNS 响应这正是我想要的和期望的!!
此外,如果我从 TMG 服务器本身执行 nslookup,它会首先转到 VPN DNS 服务器,而不是内部 NIC 上配置的 ISP DNS 服务器
请注意,我知道 DNS 设置与此处描述的并不完全一致http://technet.microsoft.com/en-us/library/cc995245.aspx我计划迁移到该 DNS 架构。但是,我不认为这是上述问题的原因,而且我怀疑我的问题仍然存在,因为它从根本上可以归结为以下问题
为什么来自 TMG 服务器本身的 DNS 查询首先转到 VPN DNS 服务器而不是内部 NIC 上配置的 ISP DNS 服务器,有没有办法阻止这种情况发生。
答案1
有一篇很好的 Technet 文章专门介绍使用 TMG 防火墙时配置 DNS。
http://technet.microsoft.com/en-us/library/cc995245.aspx
结论:将所有 DNS 请求转发到 DNS 服务器,并配置该 DNS 服务器以将远程请求转发到您的 ISP 的 DNS 服务器。
使用“条件转发器”来解析站点到站点 VPN 背后的 DNS 名称。