Ich bin bei der Arbeit verbunden mitworkdomain.com
Ich verwende eine Client-VPN-Verbindung für die Verbindung mithomelab.com
Wenn ich jetzt ipconfig /allFolgendes bekomme:
Windows IP Configuration
Host Name . . . . . . . . . . . . : WORKSTATION
Primary Dns Suffix . . . . . . . : workdomain.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : workdomain.com
homelab.com
Ethernet adapter VPN Client: (virtual NIC)
Connection-specific DNS Suffix . : homelab.com
Description . . . . . . . . . . . : VPN Client Adapter
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.homelab.69(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 192.168.homelab.router
DHCP Server . . . . . . . . . . . : 192.168.homelab.dnsserver
DNS Servers . . . . . . . . . . . : 192.168.homelab.dnsserver
NetBIOS over Tcpip. . . . . . . . : Enabled
Ethernet adapter Local Area Connection: (physical NIC)
Connection-specific DNS Suffix . : workdomain.com
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.workdomain.169(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 192.168.workdomain.dnsserver
DNS Servers . . . . . . . . . . . : 192.168.workdomain.dnsserver
NetBIOS over Tcpip. . . . . . . . : Enabled
Aber jetzt, wenn ich nslookup workdomain.combekomme:
Server: UnKnown
Address: 192.168.homelab.dnsserver
Non-authoritative answer:
Name: workdomain.com
Address: 63.230.public.ip
workdomain.comDa ich sowohl mit als auch verbunden bin homelab.com, habe ich erwartet, dass das DNS-Subsystem intelligent genug ist, um sagen zu können: „Hey, ich bin direkt mit dem Netzwerk verbunden, das diesen Server verwaltet! Ich könnte deren DNS-Server direkt fragen und eine verbindliche Antwort erhalten!“ (Dadurch würde ich die interne IP-Adresse für diesen Server erhalten.)
Es scheint jedoch so, als würde die Abfrage über die VPN-Pipe an gesendet dns.homelab.com, von wo sie an den WAN-DNS weitergeleitet wird, der wiederum mit der nicht autoritativen öffentlichen IP für antwortet workdomain.com.
Ich weiß, dass es selbst bei der Konfiguration mehrerer DNS-Server normal ist, dass ein Client einen einzigen auswählt, seine DNS-Abfrage sendet und, selbst wenn der Server antwortet, dass er nicht gefunden werden konnte, die Antwort akzeptiert und keine anderen möglicherweise konfigurierten DNS-Server ausprobiert.
Aber wenn ich es versuche, nslookup workdomain.com dns.workdomain.comerhalte ich:
Server: dns.workdomain.com
Address: 192.168.workdomain.dnsserver
Name: workdomain.com
Address: 192.168.workdomain.dnsserver
(das habe ich erwartet, das soll passieren!)
Meine Fragen sind:
Ist dies das erwartete Verhalten von DNS-Clients in mehreren Domänen mit mehreren konfigurierten DNS-Suchsuffixen?Ist es normal, dass workdomain.commein Client-Rechner seine DNS-Abfrage auch dann an weiterleitet, wenn er direkt mit dem Netzwerk verbunden ist und das Domänensuchsuffix in der DNS-Suffix-Suchliste aufgeführt ist dns.homelab.com? Warum erkennt er nicht, dass er sich bereits in diesem Netzwerk befindet, und versucht nicht, eine verbindliche Antwort zu erhalten?
Gibt es eine Konfiguration, die meine Arbeitsstation dazu veranlasst, den lokalen DNS-Server für *.workdomain.comAbfragen zu verwenden?Das ist das Verhalten, das ich erwartet habe. Ich lerne für Prüfungen in diesem Bereich, daher ist es für mich genauso wichtig zu verstehenWarumund auch, wie man es ändert.
Ändert die Client-VPN-Verbindung die DNS-Server-Präferenz der WORKSTATION?Wenn ja, ist das für mich vielleicht in Ordnung. Ich versuche sicherzustellen, dass unsere Außendiensttechniker von einer Kundensite (die wahrscheinlich ein eigenes Domänensuffix hat) aus eine Verbindung zu unserem Netzwerk herstellen können. Wenn die Client-VPN-Verbindung automatisch den DNS-Server am Ende der Pipe als Priorität annimmt, sollten sie keine Probleme haben, eine Verbindung zu unseren internen Ressourcen herzustellen.
Danke Danke!
Ich laufe übrigens Win 7 SP1 Ultimate build 7601weiter WORKSTATION.workdomain.com.
BEARBEITEN:
Also gab ich einenSzenariowo dieses Verhalten ein Problem sein könnte. Sie haben bereits unseren ersten Anwendungsfall: Ein Außendiensttechniker beim Kunden muss über eine VPN-Clientverbindung sowohl auf interne Domänenressourcen des Kunden als auch auf unsere Ressourcen hier zugreifen, aber DNS-Anfragen der Kundendomäne werden über das WAN geleitet.
Aber lassen Sie mich nun ein weiteres Angebot machenAnwendungsfalldas könnte für Sie noch mehr Bedeutung haben! Angenommen, ich bin jetzt wieder zu Hause und bin verbunden homelab.comund habe meine eigenen persönlichen Ressourcen, die ich gerne betreibe, beispielsweise einen ungesicherten Wiki-Webserver-Port 80 und einen Medienserver mit SMB-Dateifreigaben und FTP und so weiter. Aus Gründen meiner persönlichen Privatsphäre verwende ich für meine WAN-Verbindung einen VPN-Dienst eines Drittanbieters. Nun möchte ich über VPN sicher und privat auf das Internet zugreifen können, aber ich möchte auf jeden Fallnichtmöchte, dass meine DNS-Anfragen für server.homelab.comoder sogar ftp.homelab.com(!) das Internet umgeleitet werden, damit wer weiß, ob sie es sehen können!!
Es muss doch eine Möglichkeit geben, dass die DNS- oder TCP/IP-Subsysteme intelligent genug sind, um eine direkte LAN-Verbindung einer Client-VPN-Verbindung vorzuziehen. Oder, und das war meine erste Frage, ist das hier das erwartete Verhalten??