web-dev-qa-db-ja.com

安全な動的更新を行うDHCPでDNSにRRAS VPNクライアントを登録する方法

過去のMSPはWindowsサーバー(2012 R2)を次のように構成しました:

  • SERVER01(10.0.0.1):DC + DHCP + DNS
  • SERVER02(10.0.0.2):RRAS

DHCPは10.0.0.50-240の範囲のIPアドレスを配布しています。

DNSは安全な動的更新用に構成されており、DHCPは資格情報を使用して更新をDNSに登録します。

RRASは、単一のNICを使用してSSTP VPNを提供し、DHCPを使用して(静的アドレスプールではなく)IPアドレスを割り当てるように構成されています。サーバーリストに10.0.0.1の "Internal"インターフェース上にDHCPリレーエージェントが設定されています。

DHCPがリースを更新するたびにDHCPがDNSを更新するため、ドメインに参加しているラップトップがネットワークに直接接続されているオフィスにある場合、これらはすべて問題ありません。

ただし、これらの同じラップトップがオフィスから持ち出されてVPNに接続すると、DNSは新しいIPアドレスで更新されないため、ホスト名を使用してリモート管理または展開を実行することはできません。事務所に持ち帰った。

VPNのIPアドレスでDNSを正しく更新するにはどうすればよいですか?

既存のDNSレコードはDHCP資格情報によって所有されているため、VPNクライアントで「この接続のアドレスをDNSに登録する」オプションを有効にしても機能しません。 VPNクライアントには、レコードを直接更新する権限がありません。 (ラップトップの1つに自分のDNSレコードへの書き込み権限を手動で与えることでこれを確認しましたが、その時点で突然VPNを介してDNSに登録できました)。

また、VPNクライアントで "ipconfig/all"を実行すると、 "DHCP Enabled:No"PPPアダプタ用。これは予想される動作ですか? "DHCP Enabled:Yes"DHCPリレーエージェントが実際に機能している場合

1
morbiD

私はこれに対する合理的な解決策を考え出したと思います。

  1. ノートパソコンのVPN接続で"Register this connection's address in DNS"が有効になっていることを確認してください。
  2. すべてのネットワークアダプターにDHCPユーザークラスを設定します。
    • ipconfig /setclassid * "MyClass"
  3. 前述のユーザークラスを持つDHCPクライアントにのみ適用される関連スコープでDHCPポリシーを作成します。必要に応じて、より短いDHCPリースでポリシーを構成しますが、より重要なこととして、ポリシーを構成しますDHCPクライアントから要求された場合にのみDNSレコードを動的に更新します
    • DHCP\MyServer\IPv4\Scope [10.0.0.0]\Policies
  4. 必要に応じて、ラップトップ用にGPOを作成し、DNSクライアントを構成してDNSレコードをより定期的に更新し、レコードに短いTTL=を設定します:
    • Computer Configuration\Administrative Templates\Network\DNS Client\Registration refresh interval
    • Computer Configuration\Administrative Templates\Network\DNS Client\TTL value for A and PTR records

このように、DHCPは代わりにDHCPが自動的に行うことができないため、ラップトップは独自のDNSレコードを制御できます。さらに、短いTTLは、他のマシンがこれらのレコードを長期間キャッシュしないことを意味します。

一方、ドメイン上の他のすべてのPCは通常どおりに機能します。これは、上記のすべてがポリシーベースであり、正しいユーザークラスとグループメンバーシップを持つマシンにのみ適用されるためです。

1
morbiD