我有一个有效的 Always On VPN 配置文件,使用自动 NRPT 的 ProfileXML 实现将其部署到本地设备配置中:
<DomainNameInformation>
<DomainName>.example.internal</DomainName>
<DnsServers>10.0.0.1,10.0.0.2</DnsServers>
</DomainNameInformation>
其中还描述了这里
NRPT 是使用 VPNv2 CSP 的 VPNv2/<ProfileName>/DomainNameInformationList 节点设置的。
现在我想向解析到内部 DNS 服务器的客户端添加第二个域,而无需向每个客户端推出新配置。因此,我想通过 GPO 向使用我已部署的 VPN 配置文件的选定或所有客户端添加 NRPT。
应用 GPO 后,连接的 VPN 自动创建的 NRPT 规则将从系统中删除。
可以使用 PowerShell cmdletGet-DnsClientNrptRule和进行验证Get-DnsClientNrptPolicy。
即使我重新连接 VPN 以触发规则的重新创建,它们也不会再出现。
系统上剩下的唯一 NRPT 是来自 GPO 的 NRPT。
这会阻止内部名称解析并使基于名称的资源不可用。
在官方微软文档
如果适用于同一用户或计算机的多个 GPO 中存在 NRPT 规则,则这些规则会合并,且更离散的规则优先于更通用的规则。
也没有迹象表明域名信息列表有没有什么选项可以帮助我解决问题。
部分解决方案:
- 向 ProfileXML 添加第二部分 - 两个域都添加到本地 NRPT。[这需要向所有客户端进行新的推广 - 这不是我们所希望的]
- 将第一个/原始域添加到第二个域的 GPO。[这可防止根据 VPN 状态进行动态 NRPT。]
如何将 GPO NRPT 与 Always On VPN ProfileXML-NRPT 混合?