Wie sollte DNS für den Remote-VPN-Zugriff auf eine Windows-Domäne konfiguriert werden?

7

Angenommen, Sie haben eine kleine Windows-Domäne wie folgt konfiguriert:

  • Domainname ist ad.example.com(gemäß diesen Richtlinien )
  • DC1 ist am 10.10.10.3
  • DC2 ist am 10.10.10.4
  • DC1und DC2führen die AD-integrierten DNS- und DHCP-Serverrollen aus
  • AD DHCP ist mit einem Adresspool vom 10.10.10.50-99 konfiguriert
  • AD DHCP stellt Client-Leases mit der 006 DNS ServersOption aus, die auf die Adressen des DCAD-integrierten DNS festgelegt ist (dh 10.10.10.3 und 10.10.10.4).
  • Bei AD-integrierten DNS-Servern ist Google 8.8.8.8 als Weiterleitung konfiguriert
  • Das Subnetz 10.10.10.0/24 ist über einen Cisco ASA mit der internen Adresse 10.10.10.1 mit dem Internet verbunden
  • Der ASA ist das Gateway für das Netzwerk 10.10.10.0/24
  • vpn.example.com ist ein öffentlicher DNS-Eintrag, der in die externe IP-Adresse des ASA aufgelöst wird
  • Remote-Windows-Computer stellen über den ASA mithilfe des Cisco IPSec VPN-Clients, auf den verwiesen wird, eine Verbindung zum 10.10.10.0/24-Netzwerk her vpn.example.com
  • Die Remote-Windows-Computer erhalten IP-Adressen vom 10.10.10.200-10.10.10.254
  • Split-Tunneling ist so aktiviert, dass nur 10.10.10.0/24-Verkehr getunnelt wird (die höchste verfügbare Upstream-Bandbreite an diesem Standort beträgt nur 2 Mbit / s).

Wie sollte bei DNS-Laptops, die manchmal eine Verbindung über VPN herstellen, deren DNS konfiguriert werden?

Wenn ein mobiler Windows-Laptop nur eine zufällige öffentliche DNS-Serveradresse akzeptiert, sendet er DNS-Anfragen _ldap._tcp.site._sites.ad.example.coman den zufälligen öffentlichen DNS-Server, wenn der Tunnel nicht aktiv ist. Ist das Standardpraxis? Irgendwie scheint das eine schlechte Idee zu sein.

Wenn andererseits ein Windows-Laptop nur mit den internen DNS-Servern 10.10.10.3 und 10.10.10.4 konfiguriert ist (wie hier streng empfohlen ), kann der VPN-Client vpn.example.comdie VPN-Verbindung nicht auflösen - es ist ein Henne-Ei Problem.

Gibt es etwas ausgefalleneres, das mit DNS auf den Windows-Laptops losgehen sollte, die eine VPN-Verbindung herstellen?

Wie viel Kontrolle hat ein VPN-Client über Windows-DNS-Lookups? Sollte DNS Split Tunneling aktiviert sein?

Das Aktivieren des DNS-Split-Tunnelns bedeutet anscheinend, dass wir uns darauf verlassen, dass der VPN-Client DNS-Abfragen abfängt _ldap._tcp.site._sites.ad.example.com, um zu verhindern, dass sie an den öffentlichen DNS-Server gesendet werden. Ist das DNS-Split-Tunneling in VPN-Clients streng und zuverlässig? In diesem Fall scheinen einige Anwendungen den VPN-Adapter einfach ganz zu ignorieren und zu versuchen, Windows-Domänenadressen mithilfe des öffentlichen DNS-Servers auf dem physischen Adapter aufzulösen. Ist das etwas, mit dem ich mich befassen sollte?

Die andere Option - das Senden aller DNS-Lookups über den Tunnel an die AD-integrierten DNS-Server - scheint aus zwei Gründen eine schlechte Idee zu sein: 1) Der Tunnel hat wahrscheinlich eine viel höhere Latenz als ein öffentlicher DNS-Server, wenn der Benutzer dies tut viele Hopfen von der ASA. 2) Es scheint, als würden Namen in IP-Adressen aufgelöst, die Servern in unmittelbarer Nähe des ASA und nicht dem Remotecomputer entsprechen. Wenn ich das richtig verstehe, bedeutet das Probleme beim Zugriff auf Medien auf CDNs. (Bearbeiten: Hier ist ein Beispiel für jemanden, bei dem genau dieses Problem auftritt. )

alx9r
quelle
Benötigen Sie vpn.example.com, um intern eine interne IP-Adresse aufzulösen? Ist Ihr ASA nur ein VPN-Endpunkt oder ist er auch Ihr Gateway?
RobbieCrash
@RobbieCrash vpn.example.com muss nicht intern in eine Adresse aufgelöst werden. Die ASA ist auch mein Gateway.
Alx9r

Antworten:

2

Wie sollte bei DNS-Laptops, die manchmal eine Verbindung über VPN herstellen, deren DNS konfiguriert werden?

Der Netzwerkadapter sollte mit lokalem DNS konfiguriert sein, entweder ISP oder Home Router DNS. Der VPN-Adapter sollte die AD-DNS-Server über DHCP empfangen, die Sie beim Herstellen einer Verbindung zum VPN aufgeführt haben. Darüber hinaus sollte DHCP den Standarddomänennamen (domain.local) verteilen, um die Antwort auf Ihre nächste Frage zu unterstützen:

Wie viel Kontrolle hat ein VPN-Client über Windows-DNS-Lookups? Sollte Split-Tunneling aktiviert werden?

Durch die Verwendung von vollqualifizierten DNS-Namen (FQDN) vom Remote-Laptop wird sichergestellt, dass die Anforderung dem VPN-Adapter zugeordnet und an die DNS-Server dieses Adapters gesendet wird. Wenn Sie sich nur auf Hostnamen verlassen, möchte Ihr Laptop die DNS-Server der Netzwerkadapter verwenden.

Die Verwendung von Split-Tunneling ist eine Frage der Sicherheitspräferenz. Wenn es aktiviert ist, kann der Laptop gleichzeitig auf sein lokales Netzwerk und das VPN zugreifen, wo es endlose Möglichkeiten für Kompromisse gibt. Wenn Split-Tunneling deaktiviert ist, kann der Laptop auf dem physischen Adapter nicht auf TCP / IP zugreifen und verliert daher den Zugriff auf Netzwerkdrucker und -freigaben, während ein "Tunnel" nur zum VPN-Endpunkt beibehalten wird.

Homebrew Hopfen
quelle
Hoffentlich nicht domain.local, wenn das OP die andere Antwort gelesen hat, auf die er in seiner Eröffnungskugel
verwiesen hat