alx*_*x9r 7 domain-name-system vpn active-directory internal-dns cisco-asa
假设你有一个小的 windows 域配置如下:
ad.example.com(根据这些指南)DC1 在 10.10.10.3DC2 在 10.10.10.4DC1并且DC2正在运行 AD 集成的 DNS 和 DHCP 服务器角色006 DNS Servers选项设置为DC运行 AD 集成 DNS的地址(即 10.10.10.3 和 10.10.10.4)vpn.example.com 是解析为 ASA 的外部 IP 地址的公共 DNS 条目vpn.example.com对于有时通过 VPN 连接的 Windows 笔记本电脑,应如何配置其 DNS?
如果移动 Windows 笔记本电脑只接受一个随机公共 DNS 服务器地址,它会_ldap._tcp.site._sites.ad.example.com在隧道未激活时向随机公共 DNS 服务器发送 DNS 查询。这是标准做法吗?不知何故,这似乎是个坏主意。
另一方面,如果 Windows 笔记本电脑只配置了内部 DNS 服务器 10.10.10.3 和 10.10.10.4(这里严格推荐),那么 VPN 客户端无法解析vpn.example.com以建立 VPN 连接——这是一个鸡与蛋的问题问题。
在通过 VPN 连接的 Windows 笔记本电脑上,DNS 是否应该进行一些更高级的操作?
VPN 客户端对 Windows DNS 查找有多少控制权?是否应该启用 DNS 拆分隧道?
启用 DNS 拆分隧道似乎意味着我们依靠 VPN 客户端来拦截 DNS 查询,例如_ldap._tcp.site._sites.ad.example.com防止它们被发送到公共 DNS 服务器。VPN 客户端中的 DNS 拆分隧道是否严格可靠?就此而言,似乎某些应用程序可能会完全忽略 VPN 适配器,并尝试使用物理适配器上的公共 DNS 服务器解析 Windows 域地址。这是我应该关心的事情吗?
另一种选择——通过隧道将所有 DNS 查询发送到 AD 集成的 DNS 服务器——这似乎是一个坏主意,原因有两个:1) 当用户使用时,隧道的延迟可能比公共 DNS 服务器高得多。许多来自 ASA 的啤酒花。2) 名称似乎将解析为与 ASA 附近的服务器而不是远程计算机相对应的 IP 地址。如果我理解正确,那就意味着访问 CDN 上的媒体时会出现问题。(编辑:这是一个遇到这个问题的人的例子。)
小智 2
对于有时通过 VPN 连接的 Windows 笔记本电脑,应如何配置其 DNS?
网络适配器应配置其本地 DNS,ISP 或家庭路由器 DNS。VPN 适配器应通过连接到 VPN 时列出的 DHCP 接收 AD DNS 服务器。此外,DHCP 应该分发默认域名 (domain.local) 以支持您下一个问题的答案:
VPN 客户端对 Windows DNS 查找有多少控制权?是否应该启用分割隧道?
使用远程笔记本电脑的完全限定 DNS 名称 (FQDN) 将确保请求与 VPN 适配器关联并发送到该适配器上的 DNS 服务器。如果您仅依赖主机名,那么您的笔记本电脑将需要使用网络适配器 DNS 服务器。
使用分割隧道是一个安全偏好问题。启用它后,笔记本电脑可以同时访问本地网络和 VPN,其中存在无限的妥协可能性。关闭分割隧道后,笔记本电脑无法访问物理适配器上的 TCP/IP,因此将无法访问网络打印机和共享,同时仍保持仅通往 VPN 端点的“隧道”。
| 归档时间: |
|
| 查看次数: |
10035 次 |
| 最近记录: |