Мы работаем по двухадресной модели для нашей производственной сети ipv6 - у нас есть внутренний диапазон ULA, подключенный по vpn, в fd00 :: / 8, у нас также есть внешняя адресация IPv6 в 2001 :: / 16. Мы маршрутизируем оба адресных префикса для наших клиентов.
Моя проблема в том. Мы не хотим обязательно добавлять внешние адреса в DNS, что означало бы, что внутренний трафик будет выходить за пределы Интернета вместо маршрутизации через наши зашифрованные VPN. С этой целью я пытаюсь найти способ настроить машины (надеюсь, через групповую политику) таким образом, чтобы избежать публикации адреса 2001 :: / 16 в DNS для машин.
Я попытался настроить два объявления маршрута так, чтобы адрес 2001 :: / 16 не имел предпочтительного времени жизни, но имел действительное время жизни. Это достигло того, чего я хотел с DNS (он не зарегистрировал этот адрес), но Windows не будет использовать этот адрес сейчас, поскольку считает его устаревшим.
Итак, я ищу:
Какие-либо предложения?
Не могли бы вы разделить адресацию на разные сетевые карты на каждом компьютере? AFAIK Windows позволяет отключить регистрацию DNS только для сетевой карты, а не для IP.
В противном случае вы можете выполнять периодическую очистку DNS-сервера, запускать сценарий каждые несколько минут (или по мере необходимости), удаляя любые записи, соответствующие схеме общедоступной адресации.
Опять же, если это не удается, как сказал @RichVel ... зачем вообще нужна отдельная схема адресации? Конечно, при правильном разбиении на подсети вы легко могли бы иметь только схему публичной адресации и любые граничные маршрутизаторы, заставляющие внутренние машины проходить через VPN для подключения, соответствующего другому сайту? Край (до Интернета), безусловно, находится под вашим контролем, поэтому пусть маршрутизация работает на вас.