DNS mit VPN (lokales vs. entferntes DNS)

Mein Computer ist mit der Arbeitsdomäne verbunden, wo er die lokalen DNS-Server zusammen mit den DHCP-Einstellungen abruft.

Für einen bestimmten Kunden verbinde ich mich über VPN (Open VPN / TAP-Device) mit seinem Netzwerk. Richtet eine zweite IP zusammen mit ihren DNS-Servern ein.

Das Problem, mit dem ich konfrontiert bin, ist, dass Windows 10 anscheinend nicht in der Lage ist, den abzufragenden DNS-Server zu bestimmen: Angenommen, die Domänen sind ad.customer.comund ad.mysite.com.

Wenn die Verbindung hergestellt ist, verwendet Windows 10 standardmäßig den DNS-Server der Gegenstelle, d dns1.ad.customer.com. H. Die lokale DNS-Auflösung schlägt jetzt fehl, sodass auf lokale Dateifreigaben, Drucker usw. nicht zugegriffen werden kann.

Das Problem ist natürlich, dass die Domain-Namen Sub-Domains einer gültigen tld sind:

• Der PC fragt den Remote-DNS-Server nach mysite.com- was online behoben werden könnte.
• Aber dann hat ofc, der Online-Domain-Controller-Verantwortliche mysite.com, keine Informationen für ad.mysite.com, da dies nur von den lokalen DNS-Servern gehandhabt wird.
• Wenn Sie einen internen Namen nachzeichnen, wird deutlich, dass Windows versucht, ihn auf diese Weise aufzulösen.

Wenn ich die Metriken der Netzwerkverbindungen (lokal vs TAP) ändere, verhält es sich umgekehrt: Ich kann auf lokale Ressourcen zugreifen, auch wenn VPN eingerichtet ist, aber ich kann Hostnamen in der ad.customer.com-Domäne offensichtlich nicht auflösen , denn jetzt passiert dasselbe umgekehrt:

• Windows fragt meinen lokalen DNS nach customer.com
• Die Anfrage wird an den zuständigen DNS-Server weitergeleitet cusotmer.com- der wiederum die "Online-Version" ist und die interne ad-subdomain nicht kennt .

Gibt es eine Möglichkeit, Windows mitzuteilen, welcher Connection / DNS-Server für einen bestimmten FQDN verwendet werden soll?

Oder könnte ich mein dc1.ad.mysite.comso einrichten, dass es so reagiert, dass der Client weiß, dass er dc1.ad.customer.comstattdessen eine Abfrage (IP) durchführen muss?

(Das Einrichten eines DNS-Forwarders funktioniert nicht, da die internen DNS-Server nicht verbunden sind, da die VPN-Verbindung von meinem Computer stammt.)

Ich würde also eine DNS-Umleitung benötigen, keine DNS-Weiterleitung.

Local One ist 2012 R2, wenn sich dies auf die Optionen auswirkt.

Ich habe es herausgefunden: Auf beiden online-dnsServern ( customer.comund mysite.com) wurden Wildcard-Records eingerichtet, dh ein A-recordLike*.mysite.com

Daher wurde das ad.customer.cominterne DNS bei der Abfrage nach einem fqdn an ad.mysite.comUNSERE Online-DNS weitergeleitet, das für die mysite.comBeantwortung mit der primären IP aufgrund seines Platzhalter-A-Eintrags zuständig ist:

Ich kann die Domain-Einträge für den Kunden nicht ändern, aber ich kann unsere ändern. Also habe ich die Metriken so konfiguriert, dass die remoteVerbindung zuerst verwendet wird, aber für unsere tld habe ich den Platzhalterdatensatz deaktiviert, sodass nur validHostnamen beantwortet werden müssen.

Wenn nun eine VPN-Verbindung hergestellt wird, fragt Windows die lokalen DNS des Kunden ab, auch nach internen Hostnamen, erhält dann aber keine falsche Antwort mehr (aufgrund der Weiterleitung an die Online-DNS), sondern nichts.

JETZT scheint Windows die DNS-Server der sekundären Verbindung (lokale, höhere Metrik) abzufragen, was dann funktioniert und zum richtigen Ergebnis führt:

Die Ursache zu kennen, war eine andere - vielleicht bessere - Lösung, die leicht zu finden war: Während Lösung 1 immer zuerst den lokalen DNS des Kunden abfragte, arbeitet diese zuerst mit der Abfrage unserer lokalen DNS:

Zunächst ofc. Die Metriken der beiden Verbindungen wurden geändert, sodass zuerst die lokale Verbindung verwendet wird.

In unserem lokalen DNS-Server habe ich eine Primärzone eingerichtet, die der Kundendomäne entspricht: customer.com- und leer gelassen.

Jetzt antwortet unser lokales DNS mit der not foundWeiterleitung der Anfrage an den Wildcard-Using-Online-DNS-Server des Kunden. (Die ihre internen Namen nicht auflösen können)

Mein PC verwendet nun die zweite (entfernte) Verbindung, über die die Abfrage nach internen Namen gelöst werden kann.

Nachteil: Ohne eine bestehende VPN-Verbindung kann ich nicht mehr auf die Kundenwebseite zugreifen, da unsere lokale DNS diese Anfragen nicht mehr weiterleitet.

Wenn ich das auch bräuchte, könnte ich A-Records in der "Fake-Primary-Zone" einrichten.

VPN-Server sind die einzigen, die wirklich helfen können, von überall auf der Welt auf ihre Daten zuzugreifen, und sie sind daher sicher verschlüsselt.

Ich habe meinen eigenen VPN-Server mit Raspberry Pi 3 in Großbritannien eingerichtet und es funktioniert wie ein Zauber, da es eingerichtet wurde, überhaupt kein Problem, die Einrichtung ist TCP / IP und ich plane einzustellen ein anderes mit UDP.

Siamak