ドメインの命名が不十分なため、2008r2 RRASVPNの問題。何か案は？

Question

パブリックドメイン名と同じドメイン名を持つ900以上のクライアントと250以上のワークステーションを持つドメインがあります（example.orgと呼びます）。

RRAS VPNをセットアップしようとしていますが、接続に関しては問題なく機能します。接続以外のことをしたいとき、問題は醜い頭になります。内部ネットワーク上ですべてをIPで正常にpingできます。また、IPで接続している限り、接続することもできます。ただし、dc1.example.orgなどの何かに接続したいときはいつでも、ローカルDNSでそれを解決しようとして、失敗します。

NSLookupは、dc1のIPを検出する限り機能しますが、常にVPN DNSサーバーを最初ではなく最後に使用します（これは、あなたがそうあるべきだと思う方法です）。

例：

クライアント：
IP：123.123.123.123
DNS：8.8.8.8

RRAS：
パブリックIP：208.123.234.150
内部IP：10.99.99.254
内部DNS：10.0.0.10

クライアントは、PPTPを使用してサーバーに接続し、認証し、10.99.99.20などの適切なIPを受信し、ルート10.99.99.1のゲートウェイにpingを実行し、DNSサーバー10.0.0.10にpingを実行できます。解決することだけが機能しません。そして、名前解決がなければ、これは展開するのに実行不可能なソリューションです。

理想的には、内部ドメイン名を変更するだけで、それで終わりです。しかし、私は過去2週間ですでに160時間仕事をしており、事態が悪化したときにさらに40時間の週末を過ごす気にはなれず、事態は悪化するでしょう（Exchangeサーバーからのすべてが破損することを決定しましたAD、発火した機械、電話を切ったときに緊急電話番号に電話することを決定した電話）。 50人以上の非常に技術的に困難な人々のために働く簡単な修正を誰かが持っていますか？

追加情報：

RRASサーバーは2008R2を実行し、ADサーバーは2003r2と2008r2を実行し、DNSサーバーは2003r2を実行し、DHCPサーバーは2003r2を実行しています。

DC1 = AD + DNS + DHCP DC2 = AD + DNS DC3 = AD

RRAS = RRASのみ

クライアントはXP、7、OSX、Linuxなどになります。私が解決しようとしている問題はXPマシン（現時点ではクライアントの90％）で発生しているようです）

Evan Anderson · Accepted Answer

あなたはそこに混乱を持っています。 ADドメインが公開されているインターネットドメイン名を使用してはならないもう1つの理由として、これをファイルする必要があります。

ファイアウォールで内部DNSサーバーを除くすべてのマシンからの発信DNS要求をブロックします。すべてのVPNクライアントがスプリットトンネリングを使用しないように構成されていることを要求します。オフサイトDNSサーバーへのDNS要求は、VPNを通過してファイアウォールでブロックされ、内部DNSサーバーにフォールバックするように強制されます。

もちろん、クライアントがスプリットトンネリングを使用していないことを強制するためにできることは何もありません。

クライアント側の動作を制御するためにサーバー側でできることはほとんどないため、ドメイン名の変更は長期的な修正のための最善の策です。クライアントが間違ったDNSサーバーを使用している場合、それを停止させるためにできることは実際には何もありません。

Mark Henderson · Answer

Server 2008は条件付き転送をサポートしているため、VPNの反対側のDNSへのexample.orgの転送を設定します。これには、ネットワーク側の許可のみが必要です。

次に、他のオプション（私が好む）は、VPNの自分の側にセカンダリDNSゾーンを設定し、それをリモート側と同期することです（これには両側のアクセス許可が必要です）。

どちらのシナリオでも、wwwバージョンのドメインにアクセスできなくなります。