Наша внутренняя сеть — это домен Windows, contoso.net. Внутри, если пользователю нужно получить доступ к общему ресурсу файлового сервера, он может перейти к \\fileserver\shareили \\fileserver.contoso.net\share, и оба они разрешаются без проблем.
Недавно мы установили внешнюю VPN (Azure P2S) с использованием IKEv2, которая настроена на использование наших внутренних DNS-серверов, DNS-суффикса contoso.netи настроена на раздельное туннелирование.
PPP adapter Contoso VPN - User Tunnel:
Connection-specific DNS Suffix . : contoso.net
Description . . . . . . . . . . . : Contoso VPN - User Tunnel
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 172.31.1.131(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.1.5
192.168.1.6
NetBIOS over Tcpip. . . . . . . . : Enabled
При использовании VPN пользователи, как и прежде, могут использовать полное доменное имя серверов для просмотра, \\fileserver.contoso.netно не могут использовать «неквалифицированное» имя \\fileserver.
Я наткнулся на ряд постов и статей с похожей ситуацией, но я не уверен, что использую правильные «термины», когда ищу решение этой проблемы. Насколько я могу судить, это соединение должно contoso.netавтоматически добавлять указанный суффикс к неквалифицированным именам хостов, но, похоже, этого не происходит.
При использовании nslookup как для полного доменного имени, так и для короткого имени выполняется попытка разрешения с использованием DNS моего интернет-провайдера, если только я не укажу внутренний сервер; в этом случае оба эти действия будут успешными.
Есть ли какой-либо параметр реестра или GPO, который я упускаю, чтобы «принудительно» автоматически добавлять указанный DNS-суффикс к именам хостов без него?
ОБНОВЛЯТЬ
Я изменил метрику на сетевом адаптере VPN на «1», и теперь nslookup по умолчанию использует мои внутренние DNS-серверы, поэтому и короткие имена, и имена FQDN разрешаются этой утилитой. Однако просмотр короткого имени в проводнике файлов, как будто для доступа к общему файлу, по-прежнему не работает, что в конечном итоге и является моей главной проблемой.
решение1
В итоге я определил проблему как UseRasCredentialsзначение в rasphone.pbkфайле.
По умолчанию установлено значение , 1что означает использование учетных данных VPN-клиента, которыми в данном случае был сертификат SCEPman, а не учетные данные моего домена.
Установите значение 0и немедленно перезапустите фиксированное разрешение имен VPN.
Кредит дляРичард Хиксза помощь в выявлении этой проблемы.
решение2
Если на данный момент вашей главной проблемой является преобразование «неквалифицированного» имени \\fileserverв его внутренний адрес, у вас есть три варианта:
- Снимите
Use default gateway on remote networkфлажок в свойствах VPN-подключения. - Используйте определение для этого сервера в локальном
LMHOSTSфайле на клиентском компьютере. - Используйте WINS-сервер во внутренней сети и используйте его через VPN-подключение.
Надеюсь, эти предложения вам помогут.