У меня есть сервер DirectAccess на Windows Server 2012 R2. Это работает хорошо для большинства моих клиентов. Однако у меня есть один клиент (Windows 8.1), на котором установлена старая групповая политика с неверным URL-адресом IP-HTTPS, и поэтому он не может подключиться к серверу DirectAccess. Мне нужно как-то обновить групповую политику на этом компьютере, чтобы она могла получить правильные новые настройки, но, к сожалению, она находится на другой стороне континента, и я не могу просто подключить ее к внутренней сети и обновить политику. Итак, я пытался подключить его через VPN, чтобы обновить политику таким образом.
Я попытался подключить его как с PPTP VPN (система, встроенная в удаленный доступ в Windows Server 2012 R2), а также через OpenVPN. У меня одна и та же проблема с ними обоими. Запуск GPUpdate возвращает ошибку
Обработка групповой политики не удалась из-за отсутствия сетевого подключения к контроллеру домена.
Так что, очевидно, даже при подключении к VPN он не может получить доступ к контроллеру домена. Я довольно смущен этим, потому что я могу пропинговать IP-адрес контроллера домена, но полное доменное имя не будет разрешено. Например, если сервер ActiveDirectory/DomainControl находится по адресу DomainControl.mynetwork.local с IP-адресом 10.198.0.2 , я могу нормально запустить ping 10.198.0.2 но при запуске ping DomainControl.mynetwork.local или просто ping DomainControl с клиента возвращает ошибку
Запрос Ping не может найти хост DomainControl.mynetwork.local. пожалуйста, проверьте имя и попробуйте снова
Интересно, что если я попробую nslookup DomainControl.mynetwork.local он вернет правильный адрес 10.198.0.2 .
Таким образом, я не могу обновить групповую политику, потому что полное доменное имя контроллера домена не разрешается на клиенте VPN (и, очевидно, GPUpdate использует полное доменное имя вместо IP-адреса для доступа к контроллеру домена?). Похоже, это не проблема DNS через VPN, потому что nslookup может решить ее нормально. Я понятия не имею, что делать дальше.
РЕДАКТИРОВАТЬ: чтобы помочь выяснить, где проблема возникает, я настроил перехват Wireshark для проверки DNS-запросов. С nslookup все выглядит хорошо, но когда я пытаюсь ping он даже не отправляет запрос DNS. Похоже, по какой-то причине он даже не пытается найти его с DNS-сервера. Кроме того, проверка связи с внешним сервером при подключении через VPN (например, ping www.google.com) возвращает действительный ответ.
РЕДАКТИРОВАТЬ # 2: Еще несколько экспериментов с Wireshark показывает следующее, что может помочь с отладкой:
ping DomainControlне отправляет ни одного запросаping DomainControl.отправляет запрос NBNS/NetBIOS, который возвращает "запрошенное имя не существует"ping DomainControl.mynetworkотправляет запрос DNS, который возвращает "нет такого имени"ping DomainControl.mynetwork.отправляет так же, как и предыдущийping DomainControl.mynetwork.locaотправляет запрос DNS, который возвращает "нет такого имени"ping DomainControl.mynetwork.localне отправляет ни одного запросаping DomainControl.mynetwork.local.не отправляет ни одного запроса