1

У меня есть сервер DirectAccess на Windows Server 2012 R2. Это работает хорошо для большинства моих клиентов. Однако у меня есть один клиент (Windows 8.1), на котором установлена старая групповая политика с неверным URL-адресом IP-HTTPS, и поэтому он не может подключиться к серверу DirectAccess. Мне нужно как-то обновить групповую политику на этом компьютере, чтобы она могла получить правильные новые настройки, но, к сожалению, она находится на другой стороне континента, и я не могу просто подключить ее к внутренней сети и обновить политику. Итак, я пытался подключить его через VPN, чтобы обновить политику таким образом.

Я попытался подключить его как с PPTP VPN (система, встроенная в удаленный доступ в Windows Server 2012 R2), а также через OpenVPN. У меня одна и та же проблема с ними обоими. Запуск GPUpdate возвращает ошибку

Обработка групповой политики не удалась из-за отсутствия сетевого подключения к контроллеру домена.

Так что, очевидно, даже при подключении к VPN он не может получить доступ к контроллеру домена. Я довольно смущен этим, потому что я могу пропинговать IP-адрес контроллера домена, но полное доменное имя не будет разрешено. Например, если сервер ActiveDirectory/DomainControl находится по адресу DomainControl.mynetwork.local с IP-адресом 10.198.0.2 , я могу нормально запустить ping 10.198.0.2 но при запуске ping DomainControl.mynetwork.local или просто ping DomainControl с клиента возвращает ошибку

Запрос Ping не может найти хост DomainControl.mynetwork.local. пожалуйста, проверьте имя и попробуйте снова

Интересно, что если я попробую nslookup DomainControl.mynetwork.local он вернет правильный адрес 10.198.0.2 .

Таким образом, я не могу обновить групповую политику, потому что полное доменное имя контроллера домена не разрешается на клиенте VPN (и, очевидно, GPUpdate использует полное доменное имя вместо IP-адреса для доступа к контроллеру домена?). Похоже, это не проблема DNS через VPN, потому что nslookup может решить ее нормально. Я понятия не имею, что делать дальше.

РЕДАКТИРОВАТЬ: чтобы помочь выяснить, где проблема возникает, я настроил перехват Wireshark для проверки DNS-запросов. С nslookup все выглядит хорошо, но когда я пытаюсь ping он даже не отправляет запрос DNS. Похоже, по какой-то причине он даже не пытается найти его с DNS-сервера. Кроме того, проверка связи с внешним сервером при подключении через VPN (например, ping www.google.com) возвращает действительный ответ.

РЕДАКТИРОВАТЬ # 2: Еще несколько экспериментов с Wireshark показывает следующее, что может помочь с отладкой:

  • ping DomainControl не отправляет ни одного запроса
  • ping DomainControl. отправляет запрос NBNS/NetBIOS, который возвращает "запрошенное имя не существует"
  • ping DomainControl.mynetwork отправляет запрос DNS, который возвращает "нет такого имени"

  • ping DomainControl.mynetwork. отправляет так же, как и предыдущий

  • ping DomainControl.mynetwork.loca отправляет запрос DNS, который возвращает "нет такого имени"
  • ping DomainControl.mynetwork.local не отправляет ни одного запроса
  • ping DomainControl.mynetwork.local. не отправляет ни одного запроса

0