過去のMSPはWindowsサーバー(2012 R2)を次のように構成しました:
DHCPは10.0.0.50-240の範囲のIPアドレスを配布しています。
DNSは安全な動的更新用に構成されており、DHCPは資格情報を使用して更新をDNSに登録します。
RRASは、単一のNICを使用してSSTP VPNを提供し、DHCPを使用して(静的アドレスプールではなく)IPアドレスを割り当てるように構成されています。サーバーリストに10.0.0.1の "Internal"インターフェース上にDHCPリレーエージェントが設定されています。
DHCPがリースを更新するたびにDHCPがDNSを更新するため、ドメインに参加しているラップトップがネットワークに直接接続されているオフィスにある場合、これらはすべて問題ありません。
ただし、これらの同じラップトップがオフィスから持ち出されてVPNに接続すると、DNSは新しいIPアドレスで更新されないため、ホスト名を使用してリモート管理または展開を実行することはできません。事務所に持ち帰った。
VPNのIPアドレスでDNSを正しく更新するにはどうすればよいですか?
既存のDNSレコードはDHCP資格情報によって所有されているため、VPNクライアントで「この接続のアドレスをDNSに登録する」オプションを有効にしても機能しません。 VPNクライアントには、レコードを直接更新する権限がありません。 (ラップトップの1つに自分のDNSレコードへの書き込み権限を手動で与えることでこれを確認しましたが、その時点で突然VPNを介してDNSに登録できました)。
また、VPNクライアントで "ipconfig/all"を実行すると、 "DHCP Enabled:No"PPPアダプタ用。これは予想される動作ですか? "DHCP Enabled:Yes"DHCPリレーエージェントが実際に機能している場合
私はこれに対する合理的な解決策を考え出したと思います。
ipconfig /setclassid * "MyClass"
DHCP\MyServer\IPv4\Scope [10.0.0.0]\Policies
Computer Configuration\Administrative Templates\Network\DNS Client\Registration refresh interval
Computer Configuration\Administrative Templates\Network\DNS Client\TTL value for A and PTR records
このように、DHCPは代わりにDHCPが自動的に行うことができないため、ラップトップは独自のDNSレコードを制御できます。さらに、短いTTLは、他のマシンがこれらのレコードを長期間キャッシュしないことを意味します。
一方、ドメイン上の他のすべてのPCは通常どおりに機能します。これは、上記のすべてがポリシーベースであり、正しいユーザークラスとグループメンバーシップを持つマシンにのみ適用されるためです。