DNS Suffix durch VPN Tunnel

[Küstennebel 0]

Moin,

ich benötige mal etwas Nachhilfe von den Spezialisten hier. Innerhalb unserer Firmendomain (1x Server 2016 Standard DC/ 18x W10 Pro Clients) verbinden wir bestimmte Server Shares als Netzlaufwerke auf jedem Client via Profil Batch für jeden User (net use ...  \\server1\share). Das läuft soweit seit Jahren. In Corona Zeiten mussten wir jetzt auf Home Office umstellen. Dabei verbinden sich die Home Office User per Zyxel SSL VPN Client mit der Zyxel Firewall und bekommen Zugriff auf's Firmen LAN. Auch das läuft zufriedenstellend. Allerdings, und obwohl der Firmen DNS per DHCP mit an den Tunnelclient übertragen wird, konnten die Clients zu Hause nicht das Server Share auflösen. Kurzfristig haben wir uns damit beholfen, dass wir das Server Share per IP Adresse des Servers mappen (\\192.168.21.230\share). Damit kamen dann alle, sowohl in der Firma als auch von zu Hause auf das Laufwerk.

Später merkten wir dann aber, dass unsere Office Serienbriefe nicht mehr funktionierten. MS Word wollte die, mit dem Serienbrief verknüpften Datendateien einfach nicht mehr öffnen. Auch sämtliche Änderungsversuche am Word Trust Center halfen nichts. Nach Internetrecherche mussten wir dann lernen, dass Office wohl keine IP Adressen für diesen Zweck akzeptiert und dass beim Nutzen von IP Adressen auch Keberos nicht mehr genutzt wird. Also keine so gute Idee.

Als Nächstes hatten wir dann den FQDN des Server Shares zum Mappen genutzt (\\server1.firma.local\share). Das lief eigentlich auch gut und das Share konnte vom Home Office aus aufgelöst werden. Allerdings wollte MS Word auch hier unsere Serienbriefe nicht mehr ordnungsgemäß öffnen. Ging also auch nicht.

Am Ende blieb nur händisch das DNS Suffix "firma.local" in den erweiterten DNS Einstellungen des Netzwerkadapters des VPN Clients einzutragen. Dann konnte sowohl das Server Share von zu Hause aufgelöst werden als auch die Serienbriefe funktionieren wieder. Allerdings müssten jetzt auf 18 Client Rechnern die DNS Suffixe händisch eingetragen werden. Gibt es dafür einen eleganteren Weg oder fällt Euch etwas ganz anderes ein?

 

Vielen Dank

Jörg

bearbeitet 12. April 2020 von Küstennebel
Rechtschreibung

[Dukel 436]

GPO.

 

Hier gibts sogar eine Anleitung:

https://docs.microsoft.com/en-us/exchange/configure-the-dns-suffix-search-list-for-a-disjoint-namespace-exchange-2013-help

[Küstennebel 0]

Hi Dukel,

danke für die Rückmeldung. Klingt erst mal interessant. Allerdings steht in der MS Anleitung, dass diese GPO nur jenen Computern zugewiesen werden soll, welche sich im "disjoint namespace" befinden. Unsere Notebook sind aber mal in der Firma, direkt im Firmen-LAN, und mal zu Hause und nur per VPN verbunden. Hat es irgendwelche Auswirkungen, wenn ich das Domain Suffix per GPO einfach allen betreffenden Rechnern zuweise?

[MurdocX 903]

Richtig wäre, wenn euer VPN Client den Suffix auf die VPN-Netzwerkkarte setzt. Da würde ich mal über die Konfig schauen.
 

Entweder manuell oder via GPO. Das Ergebnis ist das Gleiche.

[falkebo 18]

Irgendwas stimmt bei euch sowieso nicht.
Normalerweise wird der DNS-Suffix bei Domain-Joined Maschinen bei der DNS Auflösung automatisch dran gehängt, unabhängig ob am Adapter irgendwas eingestellt wurde.
Hast du mal gecheckt ob die SSL Verbindung auch einen richtigen DNS Server mitgibt welcher nicht geblockt wird und auch die entsprechenden Namen auflösen kann?

bearbeitet 12. April 2020 von falkebo

[Küstennebel 0]

vor 20 Minuten schrieb MurdocX:

Richtig wäre, wenn euer VPN Client den Suffix auf die VPN-Netzwerkkarte setzt. Da würde ich mal über die Konfig schauen.
 

Entweder manuell oder via GPO. Das Ergebnis ist das Gleiche.

Das macht der Zyxel SecuExtender aber leider nicht. Er weist eine IP aus dem Company LAN zu und übergibt auch den Company DNS, aber keinen Suffix.

vor 5 Minuten schrieb falkebo:

Irgendwas stimmt bei euch sowieso nicht.
Normalerweise wird der DNS-Suffix bei Domain-Joined Maschinen bei der DNS Auflösung automatisch dran gehängt, unabhängig ob am Adapter irgendwas eingestellt wurde.
Hast du mal gecheckt ob die SSL Verbindung auch einen richtigen DNS Server mitgibt welcher nicht geblockt wird und auch die entsprechenden Namen auflösen kann?

Also mit meinem begrenzten Wissen denke ich trotzdem, dass der DNS des DC sauber läuft. Hier gab es rückwirkend noch nie irgendwelche Probleme oder Fehler in der Ereignisanzeige.

Die SSL VPN Verbindung gibt auch den richtigen lokalen DNS Server mit. Nach dem Verbinden sehe ich im VPN Status direkt die eigenen IP aus dem Company LAN, die Tunnel Server IP und auch die IP unseres Company DNS. Außerdem löst er ja die Namen des Server Share sauber auf, entweder, wenn man das DNS Suffix manuell in den Adaptereinstellungen einträgt oder aber das Share mit dem FQDN mapped. Also läuft für mich der DNS und ist auch erreichbar. Evtl. liegt es ja am Zyxel VPN. Der Tunnel wird dabei direkt mit der Zyxel Firewall aufgebaut und ist nicht irgendwie "domain-integriert"

Für mich geht es jetzt nur noch darum, das Suffix per GPO zu verteilen, damit ich es nicht händisch überall eintagen muss. Und ich kann halt per GPO nicht nur die "disjoint clients" auswählen, weil diese halt auch ab und zu im "joint namespace", also direkt in der Firma, sind. Deshalb meine Frage, ob es irgendwelche Auswirkungen hat, das Domain Suffix einfach allen zuzuweisen. Mag vielleicht unsinnig sein, sollte aber auch kein Brot fressen, oder?