Назад | Перейти на главную страницу

Как зарегистрировать клиентов RRAS VPN в DNS с DHCP, выполняя безопасные динамические обновления?

Прошлый MSP настраивал наши серверы Windows (2012 R2) следующим образом:

DHCP раздает IP-адреса в диапазоне 10.0.0.50-240.

DNS настроен для безопасных динамических обновлений, а DHCP использует учетные данные для регистрации обновлений в DNS.

RRAS предоставляет SSTP VPN с использованием одного сетевого адаптера и настроен для назначения IP-адресов с помощью DHCP (а не пула статических адресов). Агент DHCP-ретрансляции настроен на «Внутренний» интерфейс с 10.0.0.1 в списке серверов.

Все это нормально, когда ноутбуки, подключенные к домену, находятся в офисе и подключены напрямую к сети, потому что DHCP обновляет DNS каждый раз, когда они продлевают аренду.

Однако, когда те же самые ноутбуки выводятся из офиса и подключаются к VPN, DNS не обновляется с их новыми IP-адресами, поэтому я не могу выполнять какое-либо удаленное управление или развертывание с использованием их имен хостов, пока они вернули в офис.

Как мне заставить DNS правильно обновлять IP-адреса клиентов VPN?

Включение "Зарегистрируйте адреса этого подключения в DNS" параметр на клиентах VPN не работает, потому что существующие записи DNS принадлежат учетным данным DHCP, поэтому клиенты VPN не имеют разрешения на прямое обновление записей. (Я проверил это, вручную предоставив одному из ноутбуков разрешение на запись в свою собственную запись DNS, после чего он внезапно смог зарегистрироваться в DNS через VPN).

Кроме того, бег "ipconfig / все" на клиентах VPN показывает «DHCP включен: нет» для адаптера PPP. Это ожидаемое поведение? Разве не должно быть сказано «DHCP включен: Да» если агент DHCP-ретрансляции действительно работает?

Думаю, я нашел для этого разумное решение.

  1. Убедитесь, что в ноутбуках есть "Зарегистрируйте адреса этого подключения в DNS" включены в их VPN-соединениях.
  2. Установите класс пользователя DHCP на всех своих сетевых адаптерах:
    • ipconfig /setclassid * "MyClass"
  3. Создайте политику DHCP в соответствующей области, которая применяется только к клиентам DHCP, имеющим вышеупомянутый класс пользователей. Если хотите, настройте политику на более короткую аренду DHCP, но, что более важно, настройте ее на Динамически обновлять записи DNS только по запросу клиентов DHCP:
    • DHCP\MyServer\IPv4\Scope [10.0.0.0]\Policies
  4. При желании создайте объект групповой политики для портативных компьютеров, который настраивает их DNS-клиентов для более регулярного обновления записей DNS и устанавливает короткий TTL для записей:
    • Computer Configuration\Administrative Templates\Network\DNS Client\Registration refresh interval
    • Computer Configuration\Administrative Templates\Network\DNS Client\TTL value for A and PTR records

Таким образом, портативные компьютеры могут управлять своими собственными записями DNS, поскольку DHCP не может автоматически делать это от их имени, а короткий TTL означает, что другие машины не должны кэшировать эти записи в течение длительного времени.

Между тем, все другие ПК в домене продолжают работать в обычном режиме, потому что все вышеперечисленное основано на политике и применяется только к тем машинам с правильным классом пользователя и членством в группе.