在我们的 Windows AD 域中,我们有 2 个 DC,它们也充当我们的 DNS 服务器,允许客户端计算机更新其A records。我们有很多外部销售人员,所以我们的一些笔记本电脑必须长时间外出,并使用 Fortinet VPN 客户端通过我们的 (全隧道) SSL VPN 连接。VPN 隧道上的 DNS 工作正常,VPN 客户端能够完美解析本地主机名。
问题在于,通过 VPN 连接的客户端不会使用其 SSLVPN 适配器 IP 地址更新 DNS 记录。事实上,它们根本不更新 DNS 服务器。根据我的研究,我确定客户端应该在“发生更改时”向 DNS 服务器发送更新,但当 SSL VPN 适配器连接并获取 IP 地址时,这似乎不会发生。
我曾考虑过将 PowerShell 脚本部署到所有使用 DNSCMD 命令的计算机,当它检测到 SSL VPN 适配器具有 IP 地址时,该脚本会执行该命令,但该解决方案远非理想,感觉过于复杂且非常混乱。我希望有一个更简单的解决方案,但我还没有找到。
答案1
在 SSLVPN 适配器中,在 TCP/IP 属性、DNS 中,确保Register this connection's addresses in DNS确实已检查。
在 VPN 连接上通常不是...
答案2
您的客户端未向 DNS 注册其 IP 地址,原因很简单,即在连接到 VPN 时未对其进行配置。此行为称为动态 DNS 注册,在 Windows 中,这是每个网络适配器的设置。通过 GUI,您可以在网络适配器Properties、NetworkingTCP/IP 选项卡Properties、选项卡上启用或禁用此功能Advanced,DNS如下所示。
幸运的是,可以为所有用户纠正此问题。不幸的是,它并不像应该的那样简单 - 没有内置的 GPO 来控制此特定设置,因此这项任务只能由脚本或手动干预来完成。希望手动干预之路不需要真正的解释(告诉您的用户这样做,和/或为那些不能/不会这样做的用户这样做),但有三种解决此问题的方法可能值得解释。
- 将 DDNS 注册工作转移至您的 DHCP 服务器。
- 这可能是您的 Fortinet 上的可配置选项(用于将 DHCP 客户端注册到您提供的 DNS 服务器)。
- 在客户端上编写 DDNS 注册脚本。
- 我不是那种重新发明轮子的人,因此,请参阅 Evan Anderson 对类似问题的回答,其中包含了你可以使用的脚本。
- 如果你想编写自己的 PowerShell 脚本,你应该看看类
SetDynamicDNSRegistration的方法Win32_NetworkAdapterConfiguration。
- 如果你想编写自己的 PowerShell 脚本,你应该看看类
- 我认为将这样的脚本与登录或启动 GPO 结合起来可以获得最好的结果,但也可以通过其他或更简单的方式来实现。
- 我不是那种重新发明轮子的人,因此,请参阅 Evan Anderson 对类似问题的回答,其中包含了你可以使用的脚本。
- 检查 VPN 客户端安装程序文档,了解这是否是一个可配置选项。
- 当我在以前的工作中遇到类似的问题时,使用 Cisco VPN 客户端,DDNS 注册可以通过安装程序包中的一个简单配置文件进行配置,我根据我们的需要对其进行了修改,然后将其嵌入到我们所有的笔记本电脑图像中。
答案3
在 DC 中的 dhcp 服务器中排除 192.168.xx 范围内的 ip 范围,并将此范围分配给 forti 客户端中的 dhcp 服务器,因此当您的客户端通过 vpn 连接时,dhcp 会从排除范围中分配一个 ip,操作系统会使用分配的 ip 更新 dns 中的 A 记录。