WindowsドメインへのリモートVPNアクセス用にDNSをどのように構成する必要がありますか？

次のように構成された小さなWindowsドメインがあるとします。

• ドメイン名は_ad.example.com_です（ これらのガイドラインに従って ）
• _DC1_は10.10.10.3です
• _DC2_は10.10.10.4です
• _DC1_および_DC2_は、AD統合DNSおよびDHCPサーバーの役割を実行しています
• AD DHCPは10.10.10.50-99のアドレスプールで構成されています
• AD DHCPは、_006 DNS Servers_オプションをDCの実行中のAD統合DNSのアドレスに設定してクライアントリースを発行しています（例：10.10.10.3および10.10.10.4）
• AD統合DNSサーバーには、フォワーダーとして構成されたgoogleの8.8.8.8があります。
• 10.10.10.0/24サブネットは、内部アドレス10.10.10.1のCisco ASAを介してインターネットに接続されています
• aSAは10.10.10.0/24ネットワークのゲートウェイです
• _vpn.example.com_は、ASAの外部IPアドレスに解決されるパブリックDNSエントリです
• リモートWindowsコンピュータは、_vpn.example.com_でポイントされているCisco IPSec VPNクライアントを使用して、ASA経由で10.10.10.0/24ネットワークに接続します
• リモートWindowsコンピューターには10.10.10.200-10.10.10.254のIPアドレスが発行されます
• 10.10.10.0/24トラフィックのみがトンネリングされるように、スプリットトンネリングが有効になっています（このサイトで使用可能な最大のアップストリーム帯域幅は2Mbpsのみです）。

VPN経由で接続することがあるWindowsラップトップの場合、それらのDNSはどのように構成する必要がありますか？

モバイルWindowsラップトップがランダムなパブリックDNSサーバーアドレスを受け入れるだけである場合、トンネルがアクティブでないときに__ldap._tcp.site._sites.ad.example.com_のDNSクエリがランダムなパブリックDNSサーバーに送信されます。これは標準的な方法ですか？どういうわけかそれは悪い考えのようです。

一方、Windowsラップトップが内部DNSサーバー10.10.10.3と10.10.10.4のみで構成されている場合（ ここで強く推奨 として）、VPNクライアントは_vpn.example.com_ VPN接続を確立する-これは鶏と卵の問題です。

VPNで接続しているWindowsラップトップのDNSで行われるべきより洗練されたものはありますか？

VPNクライアントはWindows DNSルックアップをどの程度制御できますか？ DNSスプリットトンネリングを有効にする必要がありますか？

DNSスプリットトンネリングを有効にすると、__ldap._tcp.site._sites.ad.example.com_などのDNSクエリをインターセプトして、パブリックDNSサーバーに送信されないようにするために、VPNクライアントに依存しているようです。 VPNクライアントのDNSスプリットトンネリングは厳密で信頼性がありますか？さらに言えば、一部のアプリケーションはVPNアダプターを完全に無視して、物理アダプター上のパブリックDNSサーバーを使用してWindowsドメインアドレスを解決しようとするだけのようです。これは私が気にする必要がありますか？

他のオプション-すべてのDNSルックアップをトンネル経由でAD統合DNSサーバーに送信する-は、次の2つの理由で悪い考えのように思われます。 ASAからの多くのホップ。 2）リモートコンピュータではなく、ASAに非常に近いサーバーに対応するIPアドレスに名前が解決されるようです。これを正しく理解していれば、CDN上のメディアへのアクセスに問題があることを意味します。 （編集： これがこの問題だけを経験している誰かの例です ）