У нас есть домен с 900+ клиентами и 250+ рабочими станциями, имя которого совпадает с именем общедоступного домена (мы назовем его example.org).
Я пытаюсь настроить RRAS VPN, и он отлично работает в плане подключения. Проблема поднимает свою уродливую голову, когда вы хотите сделать что-нибудь, кроме подключения. Я могу нормально пинговать все по IP во внутренней сети, и я могу даже подключаться к чему-либо, если я делаю это по IP. Однако всякий раз, когда я хочу подключиться к чему-либо, например к dc1.example.org, он пытается разрешить его на локальном DNS, а затем терпит неудачу.
NSLookup работает постольку, поскольку он находит ip для dc1, но всегда использует DNS-сервер VPN последним, а не первым (как вы думаете, это должно происходить).
Пример:
Клиент:
IP: 123.123.123.123
DNS: 8.8.8.8
RRAS:
Публичный IP: 208.123.234.150
Внутренний IP: 10.99.99.254
Внутренний DNS: 10.0.0.10
Клиент может подключаться к серверу с помощью PPTP, аутентифицироваться, получать правильные IP-адреса, такие как 10.99.99.20, может пинговать шлюз для маршрута 10.99.99.1 и может пинговать DNS-сервер 10.0.0.10. Решение - единственное, что не работает. А без разрешения имен это решение невозможно развернуть.
В идеале мы бы просто изменили наше внутреннее доменное имя и покончили с этим. Тем не менее, я уже провел 160 часов за последние две недели на работе, и мне не хочется тратить еще 40 часов на выходные, когда дела пойдут плохо, и они пойдут плохо (у нас было все, от серверов Exchange, которые решили испортить AD, машинам, которые загорелись, телефонам, решающим позвонить на номера экстренных служб, когда люди повесили трубку) Есть ли у кого-нибудь простое решение, которое подойдет для более чем 50 очень технически сложных людей?
Дополнительная информация:
Сервер RRAS работает под управлением 2008R2, серверы AD работают под управлением 2003r2 и 2008r2, DNS-серверы работают под управлением 2003r2, DHCP-сервер работает под управлением 2003r2.
DC1 = AD + DNS + DHCP DC2 = AD + DNS DC3 = AD
RRAS = только RRAS
Клиентами будут XP, 7, OSX, Linux и т. Д. Проблема, которую я пытаюсь решить, похоже, возникает на машинах XP (на данный момент 90% клиентов)
Server 2008 поддерживает условную пересылку, поэтому настройте переадресацию для example.org в DNS на другой стороне VPN. Для этого требуется разрешение только на вашей стороне сети.
Другой вариант (который я предпочитаю) - настроить вторичную зону DNS на вашей стороне VPN и синхронизировать ее с удаленной стороной (для этого требуются разрешения с обеих сторон).
Оба сценария включают потерю доступа к www-версии домена.
У тебя там беспорядок. Мне придется отложить это как еще одну причину, по которой домен AD не должен использовать общедоступное доменное имя в Интернете.
Блокируйте исходящие DNS-запросы со всех машин, кроме ваших внутренних DNS-серверов, на брандмауэре. Требуйте, чтобы все клиенты VPN не использовали раздельное туннелирование. Их DNS-запросы к сторонним DNS-серверам будут проходить через VPN и блокироваться брандмауэром, заставляя их возвращаться к внутренним DNS-серверам.
Конечно, вы ничего не можете сделать, чтобы запретить клиентам использовать раздельное туннелирование.
Переименование домена будет вашим лучшим выбором для долгосрочного исправления, потому что на стороне сервера практически ничего не можно сделать для управления поведением на стороне клиента. Если клиент использует неправильный DNS-сервер, вы действительно ничего не можете сделать, чтобы его остановить.