Мой компьютер подключен к рабочему домену, где он получает локальные dns-серверы вместе с dhcp-settings.

Для определенного клиента я подключаюсь к его сети, используя VPN (Open VPN / TAP-Device), который ofc. устанавливает второй IP вместе со своими DNS-серверами.

Проблема, с которой я сталкиваюсь, заключается в том, что Windows 10, похоже, не может решить, какой DNS-сервер запрашивать: скажем, доменами являются ad.customer.com и ad.mysite.com .

Когда соединение установлено, Windows 10 по умолчанию использует dns-сервер удаленного сайта, т.е. dns1.ad.customer.com . Локальное разрешение DNS теперь не удается, что делает локальные общие папки, принтеры и т.д. Недоступными.

Проблема, очевидно, состоит в том, что доменные имена являются поддоменами действительного tld:

  • ПК начинает запрашивать у удаленного DNS-сервера mysite.com который может быть решен в Интернете.
  • Но, разумеется, сетевой контроллер домена, отвечающий за mysite.com , не имеет никакой информации для ad.mysite.com , потому что это обрабатывается только локальным dns-сервером (ами).
  • отслеживание любого внутреннего имени показывает, что windows явно пытается разрешить это таким образом ...

Если я изменяю метрики сетевых подключений (локальный против TAP), то он ведет себя наоборот: я могу получить доступ к локальным ресурсам, даже если VPN установлен, но, очевидно, я не могу разрешить имена хостов в ad.customer.com домен, потому что теперь происходит то же самое:

  • Windows спрашивает мой локальный DNS для customer.com
  • запрос перенаправляется на DNS-сервер, отвечающий за cusotmer.com который, в свою очередь, является «онлайн-версией» и не знает о внутреннем ad субдомене.

Есть ли способ сообщить Windows, какой Connection / DNS-сервер следует использовать для определенного FQDN?

Или я мог бы настроить свой dc1.ad.mysite.com таким образом, чтобы он отвечал так, чтобы клиент знал, что ему нужно вместо этого запросить dc1.ad.customer.com (ip)?

(Настройка dns-forwarder ofc. Не будет работать, потому что внутренние dns-серверы не подключены, так как VPN-соединение происходит с моей машины)

Скажем так, мне нужен DNS-Redirection, а не DNS-Forwarding.

Локальным является 2012 R2, если это влияет на параметры.

2 ответа2

0

VPN-серверы являются единственными, которые действительно могут помочь получить доступ к данным из любой точки мира, и поэтому они зашифрованы и безопасны.

Я установил свой собственный VPN-сервер с использованием Raspberry Pi 3 в Великобритании, и он работает как чудо, поскольку он настроен, никаких проблем, настройка TCP/IP, и я планирую установить еще один с UDP.

Сиамак

0

Я понял это: на обоих серверах online-dns (customer.com и mysite.com) настроены подстановочные записи, то есть A-record подобная *.mysite.com

Поэтому, когда внутренний DNS ad.customer.com был запрошен для fqdn на ad.mysite.com , он был перенаправлен в НАШИ online-dns, онлайн-DNS, отвечающий за mysite.com ответил с основным IP-адресом из-за своего подстановочного знака -Запись:

Я не могу изменить доменные записи для клиента, но я могу изменить наши. Итак, я настроил метрики так, чтобы сначала использовалось remote соединение, но для нашего tld я отключил подстановочную запись, оставив только valid имена хостов, на которые нужно ответить.

Таким образом, если VPN-соединение установлено сейчас, Windows начнет запрашивать у локальных DNS-клиентов даже внутренние имена хостов, но затем перестанет получать неправильный ответ (из-за пересылки в онлайн-DNS), но ничего.

ТЕПЕРЬ Windows, кажется, запрашивает серверы DNS вторичного соединения (локальное, более высокая метрика), которое тогда работает и приводит к правильному результату:


Зная причину, было легко найти другое - возможно, лучшее - решение: хотя Решение 1 всегда будет сначала запрашивать у клиентов локальный DNS, это работает в первую очередь с запросом нашего локального DNS:

Во-первых, оф. Метрики двух соединений были изменены, так что сначала используется локальное соединение.

Внутри нашего локального DNS-сервера я установил Первичную зону, соответствующую домену клиентов : customer.com - и оставил его пустым.

Теперь наш локальный DNS ответит « not found а не перенаправит запрос клиенту с использованием подстановочного знака online-dns-server. (Который не может разрешить их внутренние имена)

Мой ПК теперь будет использовать второе (удаленное) соединение, где можно разрешить запрос внутренних имен.

Недостаток: без установленного VPN-соединения я больше не могу получить доступ к веб-сайту клиентов, потому что наши локальные днс больше не пересылают эти запросы.

Если бы мне это тоже понадобилось, я мог бы настроить A-записи в «Fake-primary-Zone» ofc.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .