Split-DNS no Windows

Como plano de fundo, vamos ver como a pilha do DNS funciona no Windows.

Quando uma resolução para um FQDN precisar acontecer, diga a.contoso.com

• Se nenhuma correspondência for encontrada no arquivo Cache ou hosts
• O sistema operacional examina a Tabela de diretivas de resolução de nomes, essa é uma lista agnóstica de interface na qual você pode especificar o endereço IP do servidor DNS ou o servidor proxy a ser usado para o nome ou sufixo
• Se nenhuma correspondência nas consultas da Tabela NRPT for enviada nas interfaces e a resposta da interface mais preferida for selecionada (LAN & VPN; VPN > Wi-Fi > Celular)

Agora, para o seu caso em particular, a melhor coisa a fazer é adicionar uma entrada do NRPT para * .coolcorp.io e os Servidores DNS Corporativos. No Windows 10, isso pode fazer parte do perfil de VPN do Windows por meio da propriedade DomainNameInformationList no CSP do VPNv2 para MDM link . As diretivas NRPT também podem ser adicionadas por meio do commandlet powershell Add-DnsClientNrptRule. Isso fará com que todas as resoluções para * .coolcorp.io sejam executadas no servidor VPN. Em seguida, no seu próprio perfil de VPN, você não precisa fornecer um endereço de servidor DNS ou um sufixo de DNS.

Se eu estou lendo você corretamente, então eu acho que depende de como você está atribuindo IPs da sua VPN e se você tem ou não a capacidade de configurar o endereço do servidor DNS, adivinhando, mas nem todas as implementações são mesmo. Você deseja configurar as zonas que deseja que sejam atendidas internamente nesse servidor DNS e deixar a recursão intacta (embora geralmente seja uma má idéia se esse servidor DNS for exposto ao público, pois isso o abre para possível negação de serviço ataques, e você pode precisar ser mais complexo se assim for). Dessa forma, seu servidor DNS responderá primeiro o que puder e, se não tiver zona para a consulta, encaminhará para as raízes da Internet por padrão.