假设您有一个小型 Windows 域,配置如下:
- 域名是
ad.example.com(根据这些指导方针) DC1位于 10.10.10.3DC2位于 10.10.10.4DC1并DC2运行 AD 集成的 DNS 和 DHCP 服务器角色- AD DHCP 配置了地址池从 10.10.10.50-99
- AD DHCP 正在发出客户端租约,并将选项设置为正在运行的 AD 集成 DNS
006 DNS Servers的地址(即 10.10.10.3 和 10.10.10.4)DC - AD 集成 DNS 服务器已将 Google 的 8.8.8.8 配置为转发器
- 10.10.10.0/24 子网通过内部地址为 10.10.10.1 的 Cisco ASA 连接到互联网
- ASA 是 10.10.10.0/24 网络的网关
vpn.example.com是解析为 ASA 外部 IP 地址的公共 DNS 条目- 远程 Windows 计算机使用指向的 Cisco IPSec VPN 客户端通过 ASA 连接到 10.10.10.0/24 网络
vpn.example.com - 远程 Windows 计算机的 IP 地址为 10.10.10.200-10.10.10.254
- 启用分割隧道,以便仅对 10.10.10.0/24 流量进行隧道传输(此站点可用的最高上行带宽仅为 2Mbps)
对于有时通过 VPN 连接的 Windows 笔记本电脑,应如何配置其 DNS?
_ldap._tcp.site._sites.ad.example.com如果移动 Windows 笔记本电脑只接受随机公共 DNS 服务器地址,则当隧道未激活时,它将向随机公共 DNS 服务器发送 DNS 查询。这是标准做法吗?不知何故,这似乎是个坏主意。
另一方面,如果 Windows 笔记本电脑仅配置了内部 DNS 服务器 10.10.10.3 和 10.10.10.4(如强烈推荐这里) 那么 VPN 客户端就无法vpn.example.com建立 VPN 连接——这是一个先有鸡还是先有蛋的问题。
通过 VPN 连接的 Windows 笔记本电脑上的 DNS 是否应该发生一些更奇妙的事情?
VPN 客户端对 Windows DNS 查找有多少控制权?是否应启用 DNS 拆分隧道?
启用 DNS 拆分隧道似乎意味着我们依赖 VPN 客户端来拦截 DNS 查询,以_ldap._tcp.site._sites.ad.example.com防止它们被发送到公共 DNS 服务器。VPN 客户端中的 DNS 拆分隧道是否严格可靠?就此而言,似乎某些应用程序可能会完全忽略 VPN 适配器并尝试使用物理适配器上的公共 DNS 服务器解析 Windows 域地址。这是我应该担心的事情吗?
另一种选择——通过隧道将所有 DNS 查询发送到 AD 集成的 DNS 服务器——似乎不是一个好主意,原因有二:1) 当用户距离 ASA 有多个跳数时,隧道的延迟可能比公共 DNS 服务器高得多。2) 名称似乎将解析为与 ASA 附近的服务器(而不是远程计算机)相对应的 IP 地址。如果我理解正确的话,这意味着访问 CDN 上的媒体时会出现问题。(编辑:以下是某人遇到此问题的一个例子。)
答案1
对于有时通过 VPN 连接的 Windows 笔记本电脑,应如何配置其 DNS?
网络适配器应配置其本地 DNS,即 ISP 或家庭路由器 DNS。VPN 适配器应通过连接到 VPN 时列出的 DHCP 接收 AD DNS 服务器。此外,DHCP 应分发默认域名 (domain.local) 以支持下一个问题的答案:
VPN 客户端对 Windows DNS 查找有多少控制权?是否应启用拆分隧道?
使用远程笔记本电脑的完全限定 DNS 名称 (FQDN) 将确保请求与 VPN 适配器相关联并发送到该适配器上的 DNS 服务器。如果您仅依赖主机名,那么您的笔记本电脑将需要使用网络适配器 DNS 服务器。
使用分割隧道是安全偏好问题。启用分割隧道后,笔记本电脑可以同时访问本地网络和 VPN,而这存在无数的入侵可能性。关闭分割隧道后,笔记本电脑无法访问物理适配器上的 TCP/IP,因此将无法访问网络打印机和共享,同时只能保持通向 VPN 端点的“隧道”。