我已经使用组策略成功阻止了 Windows 防火墙中的端口 445,现在应用了此 GPO 的服务器无法从域控制器读取更多 GPO 更新。
有没有办法解决这个问题,而不是将它从域中删除,修复它,然后将它添加回域?或者这甚至会起作用?
在我们的 Windows AD 域中,我们有 2 个 DC,它们也充当我们的 DNS 服务器,允许客户端计算机更新其A records. 我们有很多外部销售人员,所以我们的一些笔记本电脑必须长时间离开现场,并使用 Fortinet VPN 客户端通过我们的(全隧道)SSL VPN 连接。VPN 隧道上的 DNS 工作正常,VPN 客户端能够完美解析本地主机名。
问题是通过 VPN 连接的客户端不会使用其 SSLVPN 适配器 IP 地址更新 DNS 记录。事实上,他们根本不更新 DNS 服务器。根据我的研究,我确定客户端应该“在发生更改时”向 DNS 服务器发送更新,但是当 SSL VPN 适配器连接并获取 IP 地址时,这似乎不会发生。
当检测到 SSL VPN 适配器具有 IP 地址时,我曾考虑将 PowerShell 脚本部署到所有使用 DNSCMD 命令的计算机,但该解决方案远非理想,感觉过于复杂且非常混乱。我希望有一个更简单的解决方案,但我无法挖掘。