Windows RRAS bietet keine DNS-Suffix- / Suchdomäne für Mac / Linux-Clients

633
Jess Rascal

Problem

Ich habe RRAS (PPTP-EAP und IKEv2-PEAP) auf meiner Domain bereitgestellt, und alles läuft einwandfrei. Nur DNS-Suffix wird nicht an Mac- oder Linux- Clients geliefert . Dies bedeutet, dass sie den FQDN für alles im Netzwerk verwenden müssen (z. B. ping server1.ad.domain.comfunktioniert, ping server1funktioniert nicht).

Alle Windows- Clients (ob mit der Domäne verbunden oder nicht) erhalten das Suffix "fine" und können sich daher mit ihrem einzigen Label (dh ohne Verwendung des FQDN) mit anderen Computern in Verbindung setzen.

Alle Clients (unabhängig vom Betriebssystem) kommunizieren gut, wenn sie lokal im Büro ausgeführt werden.

Hinweis : Alles ist so konfiguriert, dass es sich in demselben Subnetz befindet.

Mögliche Ursache

Nachdem ich dieses Problem in den letzten Wochen untersucht habe, glaube ich, dass dies an den Mac / Linux-Clients liegt, die nicht die DHCP-Optionen erhalten (insbesondere Option 15, die ich als Serveroption auf dem DHCP eingerichtet habe und deren Wert als festgelegt habe.) meine interne Domain ).

Ich hatte den Eindruck, dass die VPN-Clients die DNS-Server- Details vom RRAS-Server selbst erhalten (was sie tun) und alles andere, was ich einstellen wollte, auf dem DHCP-Server konfiguriert werden müsste (z. B. das Suffix über Option 15).

Um diese Optionen vom DHCP-Server an die VPN-Clients bereitzustellen, glaube ich, dass ich den RRAS-Server als DHCP-Relay-Agent einrichten muss, den ich folgendermaßen konfiguriert habe:

  • Serveradresse ( Routing and Remote Access> DHCP Relay Agent> Properties): 192.168.1.2 (die IP - Adresse meines DHCP - Server)
  • Schnittstellen : Intern (wurde automatisch hinzugefügt) und Ethernet (meine LAN-NIC) - Ich bin wirklich nicht sicher, ob dies richtig ist - benötige ich beides?

Mit dieser Konfiguration erhalten die Mac- und Linux-Clients immer noch kein DNS-Suffix (ich denke, sie erhalten immer noch keine DHCP-Option 15 ).


RRAS-Server-Konfiguration

Die Konfigurationsdetails des RRAS-Servers, die meiner Meinung nach von Interesse sein könnten, lauten wie folgt:

  • Betriebssystem : Windows Server 2016 (Hyper-V-Client)
  • Domäne : Mitglied der Domäne
  • NIC : Single NIC (hinter NAT)
    • Statische IP : 192.168.1.7
    • DNS-Server (manuell festgelegt): 192.168.1.2, 192.168.1.1
    • Suffix : Ruft das primäre Suffix einer Gruppenrichtlinie ab
  • IPv4-Adresszuweisung : Statischer Pool (53 Adressen, von der Zuweisung auf dem DHCP-Server ausgeschlossen)
  • Auflösung des Broadcast-Namens - [angekreuzt]

Mac (High Sierra) - scutil --DNSAusgabe

Wenn ein Mac-Client mit dem VPN verbunden ist und der scutil --dnsBefehl ausgeführt wird, erhalte ich die folgende Ausgabe.

DNS configuration  resolver #1 nameserver[0] : 192.168.1.2 nameserver[1] : 192.168.1.1 if_index : 9 (ipsec0) flags : Request A records reach : 0x00000002 (Reachable)  resolver #2 domain : local options : mdns timeout : 5 flags : Request A records reach : 0x00000000 (Not Reachable) order : 300000  resolver #3 domain : 254.169.in-addr.arpa options : mdns timeout : 5 flags : Request A records reach : 0x00000000 (Not Reachable) order : 300200  resolver #4 domain : 8.e.f.ip6.arpa options : mdns timeout : 5 flags : Request A records reach : 0x00000000 (Not Reachable) order : 300400  resolver #5 domain : 9.e.f.ip6.arpa options : mdns timeout : 5 flags : Request A records reach : 0x00000000 (Not Reachable) order : 300600  resolver #6 domain : a.e.f.ip6.arpa options : mdns timeout : 5 flags : Request A records reach : 0x00000000 (Not Reachable) order : 300800  resolver #7 domain : b.e.f.ip6.arpa options : mdns timeout : 5 flags : Request A records reach : 0x00000000 (Not Reachable) order : 301000  DNS configuration (for scoped queries)  resolver #1 search domain[0] : Home nameserver[0] : 192.168.9.1 if_index : 5 (en0) flags : Scoped, Request A records reach : 0x00020002 (Reachable,Directly Reachable Address)  resolver #2 nameserver[0] : 192.168.1.2 nameserver[1] : 192.168.1.1 if_index : 9 (ipsec0) flags : Scoped, Request A records reach : 0x00000002 (Reachable) 

Wie Sie im sehen können DNS - Konfiguration (für scoped Abfragen) Abschnitt, gibt es nicht eine Such - Domain für die VPN - Verbindung aufgeführt (Resolver # 2) ( das heißt es nicht das Suffix auf der Verbindung gesetzt).

Wenn ich das Suffix manuell als Suchdomäne für die VPN-Verbindung auf dem Mac eingestellt habe, funktioniert alles einwandfrei.

Linux (Ubuntu 18.04) - systemd-resolve --statusAusgabe

Wenn ein Ubuntu-Client mit dem VPN verbunden ist und der systemd-resolve --statusBefehl ausgeführt wird, erhalte ich die folgende Ausgabe.

Global DNS Domain: Home DNSSEC NTA: 10.in-addr.arpa 16.172.in-addr.arpa 168.192.in-addr.arpa 17.172.in-addr.arpa 18.172.in-addr.arpa 19.172.in-addr.arpa 20.172.in-addr.arpa 21.172.in-addr.arpa 22.172.in-addr.arpa 23.172.in-addr.arpa 24.172.in-addr.arpa 25.172.in-addr.arpa 26.172.in-addr.arpa 27.172.in-addr.arpa 28.172.in-addr.arpa 29.172.in-addr.arpa 30.172.in-addr.arpa 31.172.in-addr.arpa corp d.f.ip6.arpa home internal intranet lan local private test  Link 3 (ppp0) Current Scopes: DNS LLMNR setting: yes MulticastDNS setting: no DNSSEC setting: no DNSSEC supported: no DNS Servers: 192.168.1.2 192.168.1.1  Link 2 (wlp2s0) Current Scopes: DNS LLMNR setting: yes MulticastDNS setting: no DNSSEC setting: no DNSSEC supported: no DNS Servers: 192.168.9.1 DNS Domain: Home 

Wie Sie sehen, listet der Link für die VPN-Verbindung keine DNS-Domäne auf (dh es ist kein Suffix für die Verbindung festgelegt).

Andere Sachen, die ich versucht habe

Ich habe verschiedene Dinge ausprobiert, um zu versuchen, dass dies korrekt funktioniert. Diese sind die, an die ich mich erinnern kann:

  • DHCP-Option 119 wurde zu den DHCP-Serveroptionen hinzugefügt und anschließend stattdessen als Bereichsoption versucht (konfiguriert mit diesem Handbuch und einer anderen Methode mit dieser Option ) -no difference

    Hinweis : Ich denke, Option 119 wird nur benötigt, wenn Sie zusätzliche Suffixe außerhalb der in Option 15 festgelegten Optionen wünschen

  • Dem RRAS-Server wurde eine zusätzliche virtuelle NIC hinzugefügt und für DHCP konfiguriert (anstelle einer statischen IP-Adresse). Anschließend wurde diese NIC als "Broadcast-Namensauflösung" verwendet. no difference
  • Änderung der IPv4- Adresszuweisung des RRAS-Servers in DHCP anstelle eines statischen Pools -no difference
  • Legen Sie das Verbindungssuffix auf der NIC des RRAS-Servers manuell fest. no difference

Ich habe seitdem alle oben genannten Schritte rückgängig gemacht.


Ich bin sicher, dass mir bei der Konfiguration etwas fehlt, hoffentlich kann mir jemand sagen, wo ich falsch liege.

Wenn Sie weitere Ausgaben, Informationen usw. benötigen, kann ich sie bereitstellen (ich habe vollen Zugriff auf die Server).

Prost,
Jess

0

0 Antworten auf die Frage