我们拥有一个拥有900多个客户端和250多个工作站的域名,其域名与公有域名相同(我们将其称为example.org)。
我正在尝试build立RRAS VPN,并且连接起来效果很好。 当你想要做任何事情,除了连接之外,这个问题就会变成丑陋的头脑。 我可以在内部networking上通过IP ping任何东西,只要我通过IP来连接东西。 但是,每当我想连接到某个东西,比如说dc1.example.org,它就会尝试在本地dns上parsing它,然后失败。
NSLookup的作品,它会finddc1的IP,但它总是最后使用VPN DNS服务器,而不是第一(这是你会认为它应该去的方式)。
例:
客户:
IP:123.123.123.123
DNS:8.8.8.8
RRAS:
公共IP:208.123.234.150
内部IP:10.99.99.254
内部DNS:10.0.0.10
客户端可以使用PPTP连接到服务器,authentication,接收适当的IP如10.99.99.20,可以ping通网关10.99.99.1,可以ping DNS服务器10.0.0.10。 解决是唯一不行的。 没有名称parsing,这是一个不可行的解决scheme。
理想情况下,我们只需更改我们的内部域名,并完成它。 但是,在过去的两个星期里,我已经花了160个小时工作了,而且在事情变糟的时候,又不想再拖40个小时的周末,而且他们会变坏(我们已经从Exchange服务器中决定腐败了广告,机器着火,电话决定在人们挂断电话时拨打紧急电话)。 有没有人有一个简单的解决scheme,将工作50 +非常技术挑战的人?
额外信息:
RRAS服务器运行的是2008R2,AD服务器运行的是2003r2和2008r2,DNS服务器运行的是2003r2,DHCP服务器运行的是2003r2。
DC1 = AD + DNS + DHCP DC2 = AD + DNS DC3 = AD
仅RRAS = RRAS
客户端将是XP,7,OSX,Linux等。我想解决的问题似乎发生在XP机器(90%的客户,在这一点上)
你在那里弄得一团糟。 我将不得不将这个文件作为AD域名不应该使用面向公众的互联网域名的另一个理由。
阻止来自除防火墙内部DNS服务器之外的所有计算机的传出DNS请求。 要求所有VPN客户端都configuration为不使用拆分隧道。 他们对离线DNS服务器的DNS请求将穿越VPN并在防火墙被阻止,迫使他们回退到内部DNS服务器。
当然,没有办法强制客户端不使用拆分隧道。
域名重新命名将是您长期修复的最佳select,因为在服务器端没有什么东西可以控制客户端行为。 如果客户端使用错误的DNS服务器,那么确实没有任何事情可以使其停止。
Server 2008支持有条件的转发,所以为example.orgbuild立一个转发到VPN另一端的dns。 这只需要您的networking权限。
然后,其他选项(我更喜欢)是在您的VPN侧build立一个辅助DNS区域,并与远程端进行同步(这需要双方都有权限)。
这两种情况都涉及无法访问域的www版本。