VPNを介した動的DNS登録?
Windows ADドメインには、クライアントコンピューターがA recordsを更新できるようにするDNSサーバーとしても機能する2つのDCがあります。私たちは多くの外部の営業担当者を抱えているため、一部のラップトップは、長期にわたってオフサイトに出て、フォーティネットVPNクライアントを使用して(フルトンネル)SSL VPN経由で接続する必要があります。 VPNトンネル上のDNSは正常に機能し、VPNクライアントはローカルホスト名を完全に解決できます。
問題は、VPN経由で接続するクライアントが、SSLVPNアダプターのIPアドレスでDNSレコードを更新しないことです。実際、DNSサーバーはまったく更新されません。私の調査から、クライアントは「変更が発生したときに」DNSサーバーに更新を送信することになっていると判断しましたが、SSL VPNアダプターが接続してIPアドレスを取得すると、更新は送信されないようです。
私は、SSLCMD VPNアダプターがIPアドレスを持っていることを検出したときにDNSCMDコマンドを使用するすべてのコンピューターにPowerShellスクリプトを展開することを考えましたが、そのソリューションは理想的とはほど遠く、複雑すぎて非常に面倒です。私はこれを掘り下げることができなかったより簡単な解決策があることを願っています。
SSLVPNアダプターのTCP/IPプロパティ、DNSで、Register this connection's addresses in DNSは実際にチェックされています。
多くの場合、VPN接続ではそうではありません...
VPNに接続するときに、クライアントが構成されていないという単純な理由で、クライアントがIPアドレスをDNSに登録していません。この動作は動的DNS登録と呼ばれ、Windowsではネットワークアダプターごとの設定です。以下に示すように、GUIを使用して、ネットワークアダプターProperties、Networkingタブ、TCP/IP Properties、Advanced、DNSタブでこれを有効または無効にします。
幸い、すべてのユーザーに対してこれを修正することができます。残念ながら、それは本来あるべきほど単純ではありません-この特定の設定を制御する組み込みのGPOはありません。このタスクをスクリプトまたは手動の介入に任せます。うまくいけば、手動の介入の道は必要ありません。実際の説明(ユーザーにそれを行うように、および/またはできない/できないユーザーのために行う)ですが、この問題には、説明に値する3つのアプローチがあります。
- DDNS登録作業をDHCPサーバーにオフロードします。
- これは、フォーティネットの構成可能なオプションである可能性があります(提供するDNSサーバーにDHCPクライアントを登録するため)。
- クライアントでDDNS登録をスクリプト化します。
- 私は車輪を再発明する人ではありません 同様の質問に対する、使用するスクリプトを含むEvan Andersonの回答を参照してください 。
- 独自のPowerShellスクリプトをロールバックする場合は、
Win32_NetworkAdapterConfigurationクラスのSetDynamicDNSRegistrationメソッド を確認します。
- 独自のPowerShellスクリプトをロールバックする場合は、
- そのようなスクリプトをログオンまたはスタートアップGPOと組み合わせることで最良の結果が得られると思いますが、他の方法またはより簡単な方法で実装することもできます。
- 私は車輪を再発明する人ではありません 同様の質問に対する、使用するスクリプトを含むEvan Andersonの回答を参照してください 。
- これが構成可能なオプションであるかどうかを確認するには、VPNクライアントインストーラーのドキュメントを確認してください。
- 以前の仕事でCisco VPNクライアントを使用して同様の問題が発生したとき、DDNS登録はインストーラーパッケージのシンプルな設定ファイルを介して設定可能で、ニーズに合わせて変更し、すべてのラップトップイメージに焼き付けました。
範囲192.168.xxのDC内のdhcpサーバーにあるipsのスコープを除外し、このスコープをfortiクライアントのdhcpサーバーに割り当てます。これにより、クライアントがvpn経由で接続するときに、dhcpが範囲を除外すると、Operative SystemがDNSのAレコードを割り当てられたIPで更新します。