我有一台 Windows 7 工作站,它已加入由 Windows 2012 R2 服务器控制的 Active Directory 域。该工作站是在本地设置的,并在本地加入域。
我将工作站移至由其他人控制的远程位置。他们要求我使用他们的 DNS,不允许我将自己的 DNS 输入工作站(我的域控制器也是 DNS 服务器)。从此远程位置到我的域控制器有一个 VPN,我可以 ping 域控制器并验证端口是否打开。编辑:这是一个始终处于开启状态的基于路由器/防火墙的 VPN,而不是 VPN 客户端。
我尝试编辑计算机上的 hosts 文件,但仍然无法以没有缓存凭据的用户身份登录。
AD/DNS server name: DCPRIMARY
Domain name: mydomain.local
在 hosts 文件中,我有:
192.168.55.5 DCPRIMARY
192.168.55.5 DCPRIMARY.mydomain.local
192.168.55.5 mydomain.local
192.168.55.5 mydomain
当我尝试登录时,出现此错误:
There are currently no logon servers available to service the logon request.
为了进行测试,他们允许我将 192.168.55.5 设置为主 DNS,此时我就可以以域用户身份登录(尽管登录需要 5 分钟)。他们告诉我,除了使用我的 DNS 作为主 DNS 之外,我还需要想出其他解决方案。他们不允许对其 DNS 服务器进行任何更改。
如何在不使用 DNS 服务器的情况下将此工作站指向域控制器?它将始终具有该静态 IP,并且是此工作站唯一能看到的域控制器。
另外,他们允许我将我的 DNS 输入“备用 DNS 服务器”,但我的理解是,只有当主 DNS 处于离线状态时,计算机才会使用该 DNS。如果主 DNS 没有返回匹配项,是否有任何方法可以让计算机使用备用 DNS?
答案1
您的问题是登录前 VPN 未启动。我会使用支持登录前登录的 VPN 客户端。
安装一个像 OpenVPN 这样的客户端作为服务,并允许其在登录前连接。
我建议始终开启 VPN如果您可以将工作站升级到 Windows 10 build 1709+,因为远程端点可以是 cisco asa 或类似的东西,而不需要专门作为 RRAS 服务器。
对于您的备用 DNS 问题,如果可以的话,我会让 VPN 路由所有流量,从而成为默认路由 0.0.0.0,VPN 客户端收到的任何 IP 和 DNS 都将是默认的,绕过所有流量的局域网卡配置。
答案2
如果您可以建立到域的 VPN,最好的解决方案几乎肯定是通过 IP 连接到 VPN,或者将 VPN 的名称/IP 硬编码到您的 hosts 文件中。然后通过 VPN 将客户端设置为使用域控制器的 IP。但这要求您的 VPN 始终处于打开状态,并配置为在整个系统范围内运行。
更复杂但更灵活的选择是使用客户端上的名称解析策略表。这允许您指定客户端上特定区域要使用的服务器。不过管理起来有点麻烦。
这里有一个规则,用于*.example.org将一些服务器解析。对于您的情况,您必须先建立 VPN,然后通过 VPN 向您的 DC 的 IP 表添加规则。
$Rule = @{
'Namespace' = '.example.org'
'Comment' = 'the domain'
'NameServers' = ('2001:db8:a362:58::2', '2001:db8:a362:58::3')
}
Add-DnsClientNrptRule @Rule