Windows ADドメインには、クライアントコンピューターがA records
を更新できるようにするDNSサーバーとしても機能する2つのDCがあります。私たちは多くの外部の営業担当者を抱えているため、一部のラップトップは、長期にわたってオフサイトに出て、フォーティネットVPNクライアントを使用して(フルトンネル)SSL VPN経由で接続する必要があります。 VPNトンネル上のDNSは正常に機能し、VPNクライアントはローカルホスト名を完全に解決できます。
問題は、VPN経由で接続するクライアントが、SSLVPNアダプターのIPアドレスでDNSレコードを更新しないことです。実際、DNSサーバーはまったく更新されません。私の調査から、クライアントは「変更が発生したときに」DNSサーバーに更新を送信することになっていると判断しましたが、SSL VPNアダプターが接続してIPアドレスを取得すると、更新は送信されないようです。
私は、SSLCMD VPNアダプターがIPアドレスを持っていることを検出したときにDNSCMDコマンドを使用するすべてのコンピューターにPowerShellスクリプトを展開することを考えましたが、そのソリューションは理想的とはほど遠く、複雑すぎて非常に面倒です。私はこれを掘り下げることができなかったより簡単な解決策があることを願っています。
SSLVPNアダプターのTCP/IPプロパティ、DNSで、Register this connection's addresses in DNS
は実際にチェックされています。
多くの場合、VPN接続ではそうではありません...
VPNに接続するときに、クライアントが構成されていないという単純な理由で、クライアントがIPアドレスをDNSに登録していません。この動作は動的DNS登録と呼ばれ、Windowsではネットワークアダプターごとの設定です。以下に示すように、GUIを使用して、ネットワークアダプターProperties
、Networking
タブ、TCP/IP Properties
、Advanced
、DNS
タブでこれを有効または無効にします。
幸い、すべてのユーザーに対してこれを修正することができます。残念ながら、それは本来あるべきほど単純ではありません-この特定の設定を制御する組み込みのGPOはありません。このタスクをスクリプトまたは手動の介入に任せます。うまくいけば、手動の介入の道は必要ありません。実際の説明(ユーザーにそれを行うように、および/またはできない/できないユーザーのために行う)ですが、この問題には、説明に値する3つのアプローチがあります。
Win32_NetworkAdapterConfiguration
クラスのSetDynamicDNSRegistration
メソッド を確認します。範囲192.168.xxのDC内のdhcpサーバーにあるipsのスコープを除外し、このスコープをfortiクライアントのdhcpサーバーに割り当てます。これにより、クライアントがvpn経由で接続するときに、dhcpが範囲を除外すると、Operative SystemがDNSのAレコードを割り当てられたIPで更新します。