ローカルネットワーク10.10.10.1があります
ローカルネットワークはVPNを使用して、172.16.0.1でDNSを実行しているクラウドドメインコントローラに接続します。
ドメインに参加して対話するには、Windows 10 ではプライマリ DNS が 172.16.0.1 である必要があり、セカンダリ DNS は 10.10.10.1 です。
フェールオーバー接続を追加しましたが、フェールオーバー接続用に 2 番目の VPN 接続を追加できません。DNS は Windows ログインにのみ使用されます。フェールオーバー接続用に VPN がなくても、Windows コンピューターに問題は発生しません。
問題は、VOIP 電話とプリンターにあります。多くの VOIP 電話にはイーサネット経由でコンピューターが接続されており、VLAN がやや複雑になっています。
フェイルオーバーが作動すると、電話とプリンターは 172.16.0.1 の DNS サーバーに接続しようとして 1 分間待機状態になり、最終的に 10.10.10.1 のセカンダリ DNS を使用して再び動作を開始します。
私の理解では、ドメイン コントローラー (この場合は Linux) および/または Windows 10 では、プライマリ DNS がドメイン コントローラーである必要があります。
ドメイン コントローラーへの接続を試行するときに Windows がセカンダリ DNS を使用するように強制し、残りのすべての機器のプライマリ DNS を 10.10.10.1 に設定できるようにする方法 (グループ ポリシー、レジストリ編集、またはスクリプト) はありますか?
そうでない場合、他に有効なアイデアはありますか?
答え1
ドメイン コントローラに接続しようとするときに Windows がセカンダリ DNS を使用するように強制する方法 (グループ ポリシー、レジストリ編集、またはスクリプト) はありますか。
いいえ、セカンダリDNSサーバーはプライマリDNSが応答しない場合にフォールバックとしてのみ使用されます。Windowsは、クエリされたドメインに基づいて使用を分割しません。せいぜい、
私の理解では、ドメイン コントローラー (この場合は Linux) および/または Windows 10 では、プライマリ DNS がドメイン コントローラーである必要があります。
いいえ、クライアントシステムでは、Active Directoryドメイン(およびそのすべてのサブドメイン)が解決可能な使用している DNS サーバーによって異なりますが、直接か 10 個の DNS サーバーを経由するかは関係ありません。
したがって、次のような LAN ドメインがありexample.corp
、AD がそのサブドメインとして構成されている場合は、そこを指す NS レコード (委任) を追加できます。(これは、各ネームサーバーを直接構成しなくても、何百万ものインターネット ドメインすべてを解決できるメカニズムと同じです。)
ad.example.corp. NS dc1.ad.example.corp.
dc1.ad.example.corp. A 172.16.0.1
dc1.ad.example.corp. AAAA 2001:db8:e27f::7
LAN に独自のドメインがない場合、または完全に別のブランチである場合は、通常の DNS 委任はおそらく使用できませんが、LAN DNS サーバーは次の可能性が高くなります。
# dnsmasq
server=/ad.example.corp/172.16.0.1
# Unbound
stub-zone:
name: "ad.example.corp"
stub-addr: 172.16.0.1
ただし、これらのメカニズムはすべて、LAN DNS サーバーが AD ドメイン コントローラーに到達できることを必要とするため、それらの間に何らかの形式のルーティングまたは VPN が存在する必要があります。