DirectAccess的DNS設定

w-studio.idv.tw

DNS伺服器的規劃對於正確設定 DirectAccess非常重要, 這是因為許多 DirectAccess技術元件都使用DNS服務, 可以在 DirectAccess中使用 DNS來執行下列任務:

1. Network Location Server (NLS): 用於判斷用戶端是否位於內部網路, 當 DirectAccess用戶端能夠存取 NLS 時它會假設自己在內部網路, 否則它會假設自己在外部網路, 確保 NLS的 DNS名稱在內部網路是可解析的, 內部 DNS伺服器應該有一個指向 NLS伺服器的(A)記錄, NLS名稱不應在外部 DNS伺服器中註冊以防止外部用戶端進行解析

2. 解析 IP-HTTPS伺服器名稱: 是 DirectAccess用於穿越防火牆和 NAT的通訊協定, 提供了在 IPv4 網路上傳輸 IPv6 的能力, IP-HTTPS伺服器需要一個公開可解析的 DNS名稱, 確保此名稱在外部 DNS伺服器中有一個指向 IP-HTTPS伺服器的(A)記錄或(AAAA)記錄

3. 檢查憑證撤銷清單發佈點(CDP): CDP是用於發佈憑證撤銷清單(CRL)的 URL, DirectAccess用戶端和伺服器都需要存取 CDP來驗證憑證的有效性, CDP的 URL應在內部和外部 DNS伺服器中都能夠解析, 通常需要在內部 DNS伺服器中設定對應的(A)記錄並確保外部 DNS伺服器也能解析此名稱

4. 回應 ISATAP查詢: ISATAP是一種用於將 IPv6流量封裝在 IPv4網路中的技術, DirectAccess可選擇性地使用 ISATAP來連接 IPv6 和 IPv4 網路, 內部 DNS伺服器需要一個名為 ISATAP 的(A)記錄, 指向 ISATAP路由器的 IPv4位址, ISATAP名稱不應在外部 DNS伺服器中註冊以防止外部用戶端進行解析

5. 連線檢查: 連線檢查用於確保 DirectAccess用戶端能夠正確連接到內部網路資源, 這些檢查通常包括對某些內部資源的 ping 或 HTTP 請求, 在 DNS中手動註冊以下名稱:

。directaccess-webprobehost: 此名稱應解析為 DirectAccess伺服器的內部 IPv4位址或解析為純 IPv6環境中的 IPv6位址

。directaccess-corpconnectivityhost: 此名稱應解析為本機(lookback)位址, 應建立下列主機(A和AAAA)記錄: 127.0.0.1的主機(A)記錄, 以及由 NAT64 尾碼建立最後32位元為 127.0.0.1 的 IPv6主機(AAAA)記錄w-studio.idv.tw

為了將 DirectAccess中的網路流量與內網流量分開, Windows Server 2016和 Windows 10包含名稱解析原則表(NRPT), 此功能允許以 DNS命名空間而非依介面定義 DNS伺服器, NRPT儲存規則清單, 每個規則定義一個 DNS命名空間和描述該命名空間的 DNS用戶端行為的設定, 當DirectAccess用戶端位於外網時, 每個名稱查詢請求都會與 NRPT中儲存的命名空間規則進行比較, 如果符合則根據 NRPT規則中的設定處理請求, 如果名稱查詢請求與 NRPT中列出的命名空間不符合, 則該請求將傳送至在指定網路介面卡的 TCP/IP 設定中設定的 DNS伺服器

另外可以使用群組原則並依據以下的項目來設定 NRPT:

。設定 DNS尾碼, 如果組織在內部命名空間中使用多個網域名稱則必須在 NRPT中增加更多 DNS尾碼

。如果 CRL發佈點(CDP)的 FQDN是基於內網命名空間則必須為 CRL發佈點的 FQDN建立豁免規則

。若組織的網域名稱在外網和內網上相同的情況下(分裂DNS設定), 必須為外網用戶端建立豁免規則以決定他們是否要解析外網 FQDN或內網 FQDN