通过 VPN 进行动态 DNS 注册？

Question

在我们的 Windows AD 域中，我们有 2 个 DC，它们也充当我们的 DNS 服务器，允许客户端计算机更新其A records. 我们有很多外部销售人员，所以我们的一些笔记本电脑必须长时间离开现场，并使用 Fortinet VPN 客户端通过我们的（全隧道）SSL VPN 连接。VPN 隧道上的 DNS 工作正常，VPN 客户端能够完美解析本地主机名。

问题是通过 VPN 连接的客户端不会使用其 SSLVPN 适配器 IP 地址更新 DNS 记录。事实上，他们根本不更新 DNS 服务器。根据我的研究，我确定客户端应该“在发生更改时”向 DNS 服务器发送更新，但是当 SSL VPN 适配器连接并获取 IP 地址时，这似乎不会发生。

当检测到 SSL VPN 适配器具有 IP 地址时，我曾考虑将 PowerShell 脚本部署到所有使用 DNSCMD 命令的计算机，但该解决方案远非理想，感觉过于复杂且非常混乱。我希望有一个更简单的解决方案，但我无法挖掘。

Answer 1

您的客户端没有向 DNS 注册他们的 IP 地址，原因很简单，在连接到 VPN 时，他们没有配置。这种行为称为动态 DNS 注册，在 Windows 中，是每个网络适配器的设置。通过 GUI，您可以在网络适配器Properties、Networking选项卡 TCP/IP Properties、Advanced、DNS选项卡上启用或禁用此功能，如下所示。

幸运的是，可以为所有用户纠正此问题。不幸的是，它并不像它应该的那么简单——没有内置的 GPO 来控制这个特定的设置，这使得这个任务由脚本或手动干预决定。希望人工干预的道路不需要真正的解释（告诉你的用户去做，和/或为那些不能/不会做的人做），但有三种方法可以解决这个问题，值得解释一下。

1. 将 DDNS 注册工作卸载到您的 DHCP 服务器。
   • 这可能是 Fortinet 上的一个可配置选项（向您提供的 DNS 服务器注册 DHCP 客户端）。
2. 在客户端上编写 DDNS 注册脚本。
   • 我不是一个重新发明轮子的人，所以请参阅 Evan Anderson 对类似问题的回答，其中包括您将使用的脚本。
     • 如果您想推出自己的 PowerShell 脚本，您需要查看class的SetDynamicDNSRegistration方法Win32_NetworkAdapterConfiguration。
   • 我认为最好的结果是将这样的脚本与登录或启动 GPO 结合起来，但也可以通过其他或更简单的方式实现。
3. 检查 VPN 客户端安装程序文档以查看这是否是可配置选项。
   • 当我在旧工作中遇到类似问题时，使用 Cisco VPN 客户端，DDNS 注册可通过安装程序包中的一个简单配置文件进行配置，我对其进行了更改以满足我们的需求，然后融入到我们所有的笔记本电脑映像中。