Como o DNS deve ser configurado para acesso VPN remoto a um domínio do Windows?

6

Suponha que você tenha um pequeno domínio do Windows configurado da seguinte maneira:

  • o nome do domínio é ad.example.com (de acordo com estas diretrizes )
  • DC1 está em 10.10.10.3
  • DC2 está em 10.10.10.4
  • DC1 e DC2 estão executando as funções de servidor DNS e DHCP integradas ao AD
  • O AD DHCP está configurado com um pool de endereços de 10.10.10.50-99
  • O AD DHCP está emitindo concessões de clientes com a opção 006 DNS Servers definida para os endereços de DC executando o DNS integrado ao AD (ou seja, 10.10.10.3 e 10.10.10.4)
  • Os servidores DNS integrados ao AD têm o 8.8.8.8 do google configurado como um encaminhador
  • a sub-rede 10.10.10.0/24 está conectada à internet através de um Cisco ASA com endereço interno 10.10.10.1
  • o ASA é o gateway para a rede 10.10.10.0/24
  • vpn.example.com é uma entrada de DNS público que resolve para o endereço IP externo do ASA
  • Os computadores Windows remotos conectam-se à rede 10.10.10.0/24 através do ASA usando o Cisco IPSec VPN Client apontado em vpn.example.com
  • os computadores Windows remotos recebem endereços IP de 10.10.10.200-10.10.10.254
  • o tunelamento dividido é ativado de tal forma que somente o tráfego 10.10.10.0/24 é encapsulado (a maior largura de banda disponível no fluxo de dados neste site é de apenas 2Mbps)

Para laptops Windows que às vezes se conectam via VPN, como o DNS deve ser configurado?

Se um laptop Windows móvel aceitar apenas um endereço de servidor DNS público aleatório, ele enviará consultas de DNS para _ldap._tcp.site._sites.ad.example.com para o servidor DNS público aleatório quando o túnel não estiver ativo. Esta é uma prática padrão? De alguma forma, parece uma má ideia.

Por outro lado, se um laptop Windows estiver configurado apenas com os servidores DNS internos 10.10.10.3 e 10.10.10.4 (como severamente recomendado aqui ), então o cliente VPN não pode resolver vpn.example.com para fazer a conexão VPN - é um problema de galinha e ovo.

Existe algo mais sofisticado que deveria estar acontecendo com o DNS nos laptops Windows conectados por VPN?

Quanto controle tem um cliente VPN sobre pesquisas de DNS do Windows? O DNS split tunneling deve ser ativado?

Ativar o túnel dividido em DNS parece significar que estamos confiando no cliente VPN para interceptar consultas DNS como _ldap._tcp.site._sites.ad.example.com para impedir que elas sejam enviadas para o servidor DNS público. O DNS split-tunneling em clientes VPN é estrito e confiável? Na verdade, parece que alguns aplicativos podem simplesmente ignorar o adaptador VPN e tentar resolver os endereços de domínio do Windows usando o servidor DNS público no adaptador físico. Isso é algo com o qual eu deveria me preocupar?

A outra opção - enviar todas as pesquisas de DNS pelo túnel para os servidores DNS integrados ao AD - parece ser uma má ideia por dois motivos: 1) O túnel tem uma latência muito maior do que um servidor DNS público quando o usuário é muitos saltos do ASA. 2) Parece que os nomes serão resolvidos para endereços IP que correspondem a servidores próximos ao ASA em vez do computador remoto. Se eu entendi isso corretamente, isso significa problemas ao acessar mídia em CDNs. (Edit: Eis um exemplo de alguém que está enfrentando apenas este problema. )

    
por alx9r 12.03.2014 / 03:17

1 resposta

2

Para laptops Windows que às vezes se conectam via VPN, como o DNS deve ser configurado?

O adaptador de rede deve ser configurado com o DNS local para si mesmo, seja o ISP ou o DNS do roteador doméstico. O adaptador VPN deve receber os servidores DNS do AD via DHCP que você listou ao conectar-se à VPN. Além disso, o DHCP deve estar distribuindo o nome de domínio padrão (domain.local) para dar suporte à resposta para sua próxima pergunta:

Quanto controle tem um cliente VPN sobre pesquisas de DNS do Windows? A divisão de tunelamento deve estar ativada?

O uso de nomes completos de DNS (FQDN) do laptop remoto garantirá que a solicitação seja associada ao adaptador VPN e enviada aos servidores DNS nesse adaptador. Se você confiar apenas em nomes de host, seu laptop usará os servidores DNS dos adaptadores de rede.

Usar o tunelamento dividido é uma questão de preferência de segurança. Com ele habilitado, é possível que o laptop acesse a rede local e a VPN simultaneamente, onde há infinitas possibilidades de comprometimento. Com o encapsulamento dividido desativado, o laptop não pode acessar o TCP / IP no adaptador físico e, portanto, perderá o acesso a impressoras e compartilhamentos de rede, mantendo um 'túnel' apenas para o ponto de extremidade da VPN.

    
por 12.03.2014 / 18:34