Предположим, у вас есть небольшой домен Windows, настроенный следующим образом:
ad.example.com (согласно эти руководящие принципы)DC1 находится в 10.10.10.3DC2 находится в 10.10.10.4DC1 и DC2 работают с интегрированными в AD ролями DNS и DHCP-сервера006 DNS Servers опция установлена на адреса DCработает DNS, интегрированный в AD (например, 10.10.10.3 и 10.10.10.4)vpn.example.com это общедоступная запись DNS, которая преобразуется во внешний IP-адрес ASA.vpn.example.comКак следует настроить DNS для ноутбуков с Windows, которые иногда подключаются через VPN?
Если мобильный ноутбук с Windows принимает случайный общедоступный адрес DNS-сервера, он будет отправлять DNS-запросы для _ldap._tcp.site._sites.ad.example.com к случайному общедоступному DNS-серверу, когда туннель неактивен. Это стандартная практика? Почему-то это кажется плохой идеей.
С другой стороны, если ноутбук с Windows настроен только с внутренними DNS-серверами 10.10.10.3 и 10.10.10.4 (как настоятельно рекомендуется здесь) тогда VPN-клиент не может разрешить vpn.example.com установить соединение VPN - это проблема курицы и яйца.
Есть ли что-то более интересное, что должно происходить с DNS на ноутбуках с Windows, подключающихся через VPN?
Насколько хорошо VPN-клиент контролирует поиск DNS в Windows? Следует ли включить раздельное туннелирование DNS?
Включение раздельного туннелирования DNS, похоже, означает, что мы полагаемся на VPN-клиент для перехвата таких DNS-запросов, как _ldap._tcp.site._sites.ad.example.com чтобы предотвратить их отправку на общедоступный DNS-сервер. Является ли раздельное туннелирование DNS в VPN-клиентах строгим и надежным? В этом отношении похоже, что некоторые приложения могут просто игнорировать адаптер VPN и пытаться разрешить адреса домена Windows с помощью общедоступного DNS-сервера на физическом адаптере. Это то, о чем я должен беспокоиться?
Другой вариант - отправка всех запросов DNS через туннель на DNS-серверы, интегрированные в AD - кажется плохой идеей по двум причинам: 1) Туннель, вероятно, будет иметь гораздо большую задержку, чем общедоступный DNS-сервер, когда пользователь много хмеля от ASA. 2) Похоже, что имена будут преобразовываться в IP-адреса, которые соответствуют серверам в непосредственной близости от ASA, а не удаленному компьютеру. Если я правильно понимаю, это означает проблемы с доступом к медиа в CDN. (Редактировать: Вот пример того, как кто-то столкнулся с этой проблемой.)
Как следует настроить DNS для ноутбуков с Windows, которые иногда подключаются через VPN?
Сетевой адаптер должен быть настроен с использованием DNS, локального для него самого, либо ISP, либо DNS домашнего маршрутизатора. Адаптер VPN должен получать серверы AD DNS через DHCP, указанный вами при подключении к VPN. Кроме того, DHCP должен выдавать доменное имя по умолчанию (domain.local), чтобы поддержать ответ на ваш следующий вопрос:
Насколько хорошо VPN-клиент контролирует поиск DNS в Windows? Следует ли включить раздельное туннелирование?
Использование полных DNS-имен (FQDN) с удаленного портативного компьютера гарантирует, что запрос будет связан с адаптером VPN и отправлен на DNS-серверы этого адаптера. Если вы полагаетесь только на имена хостов, ваш ноутбук захочет использовать DNS-серверы сетевых адаптеров.
Использование раздельного туннелирования является вопросом безопасности. Когда он включен, ноутбук может одновременно получать доступ как к своей локальной сети, так и к VPN, где есть бесконечные возможности для компрометации. Если разделенное туннелирование отключено, портативный компьютер не может получить доступ к TCP / IP на физическом адаптере и потеряет доступ к сетевым принтерам и общим ресурсам, сохраняя «туннель» только к конечной точке VPN.