none
客户端外网DNS导致域认证失败问题 RRS feed

  • 问题

  • 一般情况下,当用户使用公网的DNS时,在公司内网是无法通过域认证的。现在我就遇到这样的情况,部分用户经常需要手动设置使用外部的DNS,从而导致内网的域控连不上。

    有没有一种方法,能让用户不依赖于DNS去找到域控?比如Wins,Hosts文件之类的方法有没有可行性?

    2013年6月5日 2:31

答案

  • 谢谢!

    我通过防火墙上的DNS代理的方法 ,将用户的外网DNS强制重定向到有AD相关记录的DNS,这种方法测试可以成功。不过该方法并不是理想的方法,还是印证了你的回复。

    通过网络方法,不清楚还有没有其他可能?

    呵呵,防火墙上截获外部DNS请求,转到内部DNS去,不错的做法,能做就很好!

    你的那些客户端是不是都给了用户管理员权限啊?他们自己乱改DNS咯?


    Technical problem is never a problem.

    2013年6月5日 7:50

全部回复

  • 不,域成员计算机必须指向有AD相关记录的DNS,一般总是内部DNS

    要让域成员能解析外网域名,一般是通过给这台DNS配置转发或配置它可以做根和迭代查询。


    Technical problem is never a problem.

    2013年6月5日 2:50
  • 除此之外,我还想知道有没有其他方法?

    比如Wins,改Hosts文件之类的方法有没有可行性?


    • 已编辑 Anson_Chen_ 2013年6月5日 7:32 错了个字
    2013年6月5日 7:02
  • 除些之外,我还想知道有没有其他方法?

    比如Wins,改Hosts文件之类的方法有没有可行性?

    没有任何官方可能!

    除非你自己hack掉客户端的netlogon等DC Loator行为相关的服务。


    Technical problem is never a problem.

    2013年6月5日 7:12
  • 谢谢!

    我通过防火墙上的DNS代理的方法 ,将用户的外网DNS强制重定向到有AD相关记录的DNS,这种方法测试可以成功。不过该方法并不是理想的方法,还是印证了你的回复。

    通过网络方法,不清楚还有没有其他可能?

    2013年6月5日 7:37
  • 谢谢!

    我通过防火墙上的DNS代理的方法 ,将用户的外网DNS强制重定向到有AD相关记录的DNS,这种方法测试可以成功。不过该方法并不是理想的方法,还是印证了你的回复。

    通过网络方法,不清楚还有没有其他可能?

    呵呵,防火墙上截获外部DNS请求,转到内部DNS去,不错的做法,能做就很好!

    你的那些客户端是不是都给了用户管理员权限啊?他们自己乱改DNS咯?


    Technical problem is never a problem.

    2013年6月5日 7:50
  • 这里管理层的电脑,非常不好办。自由性要求高,还想面面俱到。

    管理层也不懂什么是DNS,一上来就配置使用Google的DNS(8.8.8.8),真是防不胜防。

    2013年6月5日 8:10
  • 这里管理层的电脑,非常不好办。自由性要求高,还想面面俱到。

    管理层也不懂什么是DNS,一上来就配置使用Google的DNS(8.8.8.8),真是防不胜防。

    你可以狠一点,给他们弄个组策略开机脚本,一开机就改成你的DNS。。。


    Technical problem is never a problem.

    2013年6月5日 8:12