假设你有一个小的Windows域configuration如下:
ad.example.com (按照这些准则 ) DC1在10.10.10.3 DC2在10.10.10.4 DC1和DC2正在运行AD集成的DNS和DHCP服务器angular色 006 DNS Servers选项设置为DC运行AD集成DNS的地址(即10.10.10.3和10.10.10.4) vpn.example.com是parsing为ASA外部IP地址的公共DNS项 vpn.example.com的Cisco IPSec VPN客户端通过ASA连接到10.10.10.0/24networking 对于有时通过VPN连接的Windows笔记本电脑,他们的DNS应该如何configuration?
如果移动Windows笔记本电脑只接受随机的公共DNS服务器地址,则当隧道处于非活动状态时,它将向随机公用DNS服务器发送_ldap._tcp.site._sites.ad.example.com DNS查询。 这是标准的做法吗? 不知何故,这似乎是一个坏主意。
另一方面,如果Windows笔记本电脑configuration了只有内部DNS服务器10.10.10.3和10.10.10.4(如此处严格推荐 ),那么VPN客户端无法parsingvpn.example.com以build立VPN连接 – 这是一个鸡与鸡的问题。
在通过VPN连接的Windows笔记本电脑上,DNS应该有什么更奇怪的事情发生吗?
VPN客户端对Windows DNS查询有多less控制? 应该启用DNS分割隧道?
启用DNS拆分隧道似乎意味着我们依靠VPN客户端拦截DNS查询,如_ldap._tcp.site._sites.ad.example.com以防止它们被发送到公共DNS服务器。 VPN客户端中的DNS拆分隧道是严格可靠的吗? 对于这一点,似乎有些应用程序可能完全忽略了VPN适配器,并尝试使用物理适配器上的公共DNS服务器来parsingWindows域地址。 这是我应该关心的吗?
另一种select – 通过隧道发送所有的DNS查findAD集成的DNS服务器 – 这似乎是一个坏主意,原因有两个:1)当用户是通道时,通道可能比公共DNS服务器高得多来自ASA的许多跳跃。 2)似乎名称将parsing为与ASA附近的服务器对应的IP地址,而不是远程计算机。 如果我正确理解这一点,那就意味着在CDN上访问媒体时遇到问题。 (编辑: 这是一个经历这个问题的人的例子。 )
对于有时通过VPN连接的Windows笔记本电脑,他们的DNS应该如何configuration?
networking适配器应该configuration为本地DNS,或ISP或家庭路由器DNS。 VPN适配器应通过连接到VPN时列出的DHCP接收AD DNS服务器。 另外,DHCP应该发出默认的域名(domain.local)来支持你的下一个问题的答案:
VPN客户端对Windows DNS查询有多less控制? 是否应该启用分割隧道?
从远程笔记本电脑使用完全限定的DNS名称(FQDN)将确保请求与VPN适配器关联并发送到该适配器上的DNS服务器。 如果您只依赖主机名,那么您的笔记本电脑将要使用networking适配器DNS服务器。
使用拆分隧道是安全性偏好的问题。 启用后,笔记本电脑可以同时访问他们的本地networking和VPN,并有无尽的折中机会。 在分离隧道closures的情况下,笔记本电脑无法访问物理适配器上的TCP / IP,因此将失去对networking打印机和共享的访问权限,同时仅为VPN端点维护一个“隧道”。