Windows-Server-2008

2008r2 RRAS VPN 問題,由於域名命名不佳。有任何想法嗎?

  • July 31, 2011

我們有一個包含 900 多個客戶端和 250 多個工作站的域,該域的名稱與其公共域名相同(我們將其稱為 example.org)。

我正在嘗試設置 RRAS VPN,就連接而言,它執行良好。當您想做除了連接之外的任何事情時,問題就會出現。我可以在內部網路上通過IP ping 一切,我什至可以通過IP 連接到東西。但是,每當我想連接到某個東西時,比如 dc1.example.org,它都會嘗試在本地 dns 上解析它,然後失敗。

NSLookup 工作,只要它會找到 dc1 的 ip,但它總是最後使用 VPN DNS 伺服器,而不是第一個(這是你認為應該採用的方式)。

例子:

客戶端:

IP:123.123.123.123

DNS:8.8.8.8

RRAS:

公共 IP:208.123.234.150

內部 IP:10.99.99.254

內部 DNS:10.0.0.10

客戶端可以使用 PPTP 連接到伺服器,進行身份驗證,接收正確的 IP,例如 10.99.99.20,可以 ping 網關路由 10.99.99.1,並且可以 ping DNS 伺服器 10.0.0.10。解決是唯一不起作用的事情。如果沒有名稱解析,這是一個不可行的部署解決方案。

理想情況下,我們只需更改我們的內部域名,並完成它。但是,在過去的兩周里,我已經在工作中花費了 160 個小時,並且不想在事情變糟時再拖一個 40 個小時的周末,而且它們會變壞(我們已經讓 Exchange 伺服器的所有內容都決定損壞) AD,到著火的機器,到人們掛斷時決定撥打緊急號碼的電話)。有沒有人有一個適用於 50 多位技術挑戰者的簡單解決方案?

額外資訊:

RRAS 伺服器執行 2008R2,AD 伺服器執行 2003r2 和 2008r2,DNS 伺服器執行 2003r2,DHCP 伺服器執行 2003r2。

DC1 = AD + DNS + DHCP DC2 = AD + DNS DC3 = AD

RRAS = 僅 RRAS

客戶端將是 XP、7、OSX、Linux 等。我試圖解決的問題似乎發生在 XP 機器上(此時有 90% 的客戶端)

你那裡一團糟。我將不得不將此作為 AD 域不應使用面向公眾的 Internet 域名的又一個原因歸檔。

阻止來自除防火牆的內部 DNS 伺服器之外的所有電腦的傳出 DNS 請求。要求所有 VPN 客戶端都配置為不使用拆分隧道。他們對異地 DNS 伺服器的 DNS 請求將穿越 VPN 並被防火牆阻止,迫使他們回退到內部 DNS 伺服器。

當然,您無法強制客戶端不使用拆分隧道。

域名重命名將是您長期修復的最佳選擇,因為您在伺服器端無法做任何事情來控制客戶端行為。如果客戶端使用了錯誤的 DNS 伺服器,那麼您確實無法阻止它。

引用自:https://serverfault.com/questions/295656