我们有一个拥有 900 多个客户端和 250 多个工作站的域,其域名与其公共域名相同(我们称之为 example.org)。
我正在尝试设置 RRAS VPN,就连接而言,它运行良好。当您想要执行连接以外的任何操作时,问题就会凸显出来。我可以通过内部网络上的 IP 顺利 ping 所有内容,甚至可以连接到任何内容,只要我通过 IP 进行连接即可。但是,每当我想连接到某个东西(例如 dc1.example.org)时,它都会尝试在本地 DNS 上解析它,然后失败。
NSLookup 可以工作,只要它能找到 dc1 的 ip,但它总是最后使用 VPN DNS 服务器,而不是第一个(这是您认为应该采用的方式)。
例子:
客户端:
IP:123.123.123.123
DNS:8.8.8.8
RRAS:
公共 IP:208.123.234.150
内部 IP:10.99.99.254
内部 DNS:10.0.0.10
客户端可以使用 PPTP 连接到服务器,进行身份验证,接收正确的 IP(如 10.99.99.20),可以 ping 路由 10.99.99.1 的网关,并可以 ping DNS 服务器 10.0.0.10。解析是唯一不起作用的东西。如果没有名称解析,这是一个无法部署的解决方案。
理想情况下,我们只需更改内部域名,就可以了。但是,过去两周我已经在工作中花费了 160 个小时,当事情变糟时,我不想再花 40 个小时的周末时间,而且事情会变得更糟(我们遇到过各种问题,从 Exchange 服务器决定破坏 AD,到机器着火,再到电话决定在有人挂断电话时拨打紧急号码)。有没有人有一个简单的解决方案,适用于 50 岁以上的技术挑战者?
额外信息:
RRAS 服务器正在运行 2008R2,AD 服务器正在运行 2003r2 和 2008r2,DNS 服务器正在运行 2003r2,DHCP 服务器正在运行 2003r2。
DC1 = AD + DNS + DHCP DC2 = AD + DNS DC3 = AD
RRAS = 仅限 RRAS
客户端将是 XP、7、OSX、Linux 等。我试图解决的问题似乎发生在 XP 机器上(目前 90% 的客户端)
答案1
你那里一团糟。我必须把这当作 AD 域不应该使用面向公众的 Internet 域名的又一个原因。
在防火墙处阻止除内部 DNS 服务器之外的所有计算机的传出 DNS 请求。要求所有 VPN 客户端都配置为不使用拆分隧道。它们对异地 DNS 服务器的 DNS 请求将穿越 VPN 并在防火墙处被阻止,从而迫使它们返回到内部 DNS 服务器。
当然,你无法强制客户端不使用分割隧道。
域名重命名是长期修复的最佳选择,因为在服务器端,您实际上无法控制客户端行为。如果客户端使用了错误的 DNS 服务器,您实际上无法采取任何措施来阻止它。
答案2
Server 2008 支持条件转发,因此请为 example.org 设置转发到 VPN 另一端的 DNS。这只需要您这边的网络权限。
然后另一个选项(我更喜欢)是在 VPN 您这边设置一个辅助 DNS 区域并将其与远程端同步(这需要双方的权限)。
这两种情况都会导致失去对域名 www 版本的访问权限。