Динамическая регистрация DNS через VPN?
В нашем домене Windows AD у нас есть 2 контроллера домена, которые также действуют как наши DNS-серверы, которые позволяют клиентским компьютерам обновлять свои A records. У нас много внешних продавцов, поэтому некоторые из наших ноутбуков должны на длительное время отключаться от места установки и подключаться через наш (полный туннель) SSL VPN с использованием клиента Fortinet VPN. DNS через туннель VPN работает нормально, клиенты VPN могут отлично разрешать локальные имена хостов.
Проблема в том, что клиенты, подключающиеся через VPN, не обновляют записи DNS с помощью своего IP-адреса адаптера SSLVPN. Фактически, они вообще не обновляют DNS-сервер. Из своего исследования я определил, что клиенты должны отправлять обновление на DNS-сервер «при изменении», но этого не происходит, когда адаптер SSL VPN подключается и получает IP-адрес.
Я думал о развертывании сценариев PowerShell на всех компьютерах, которые используют команду DNSCMD, когда она обнаруживает, что адаптер SSL VPN имеет IP-адрес, но это решение далеко от идеала, кажется слишком сложным и очень запутанным. Я надеюсь, что есть более простое решение, которое я не смог найти.
Ваши клиенты не регистрируют свои IP-адреса в DNS по той простой причине, что они не настроены при подключении к VPN. Такое поведение называется динамической регистрацией DNS и в Windows является настройкой сетевого адаптера. Через графический интерфейс вы можете включить или отключить это на сетевом адаптере. Properties, то Networking вкладка, TCP / IP Properties, Advanced, DNS вкладку, как показано ниже.
К счастью, это можно исправить для всех ваших пользователей. К сожалению, это не так просто, как должно быть - нет встроенного объекта групповой политики, который бы контролировал этот конкретный параметр, что оставляет эту задачу на усмотрение сценариев или ручного вмешательства. Надеюсь, способ ручного вмешательства не нуждается в реальных объяснениях (попросите своих пользователей это сделать и / или сделайте это для тех, кто не может / не хочет), но есть три подхода к этой проблеме, которые могут заслужить некоторого объяснения.
- Перегрузите работу по регистрации DDNS на свой DHCP-сервер.
- Это может быть настраиваемая опция на вашем Fortinet (для регистрации DHCP-клиентов на DNS-сервере, который вы предоставляете).
- Сценарий регистрации DDNS на клиентах.
- Я не из тех, кто изобретает велосипед, так что см. ответ Эвана Андерсона, который включает сценарий, который вы бы использовали, на аналогичный вопрос.
- Если вы хотите создать собственный сценарий PowerShell, вам нужно будет посмотреть то
SetDynamicDNSRegistrationметодWin32_NetworkAdapterConfigurationкласс.
- Если вы хотите создать собственный сценарий PowerShell, вам нужно будет посмотреть то
- Я думаю, что наилучших результатов можно добиться, комбинируя такой сценарий с GPO входа или запуска, но также можно реализовать другие или более простые способы.
- Я не из тех, кто изобретает велосипед, так что см. ответ Эвана Андерсона, который включает сценарий, который вы бы использовали, на аналогичный вопрос.
- Проверьте документацию по установщику VPN-клиента, чтобы узнать, можно ли это настроить.
- Когда у меня возникла аналогичная проблема на старой работе с использованием клиента Cisco VPN, регистрацию DDNS можно было настроить с помощью простого файла конфигурации в пакете установщика, который я изменил в соответствии с нашими потребностями, а затем встроил во все образы наших ноутбуков.
В адаптере SSLVPN в свойствах TCP / IP DNS убедитесь, что Register this connection's addresses in DNS собственно проверил.
Часто в VPN-соединении это не так ...
Сделайте исключение из области IP на вашем DHCP-сервере в DC для диапазона 192.168.xx и назначьте эту область своему DHCP-серверу в клиенте forti, чтобы, когда ваши клиенты подключаются через vpn, DHCP назначает IP из исключить диапазон, и операционная система обновит запись A в вашем DNS с назначенным IP-адресом.