none
外网漫游用户如何使用内网域环境?

    问题

  • 用户电脑已经加入域环境,现在想在出差外地的时候也能使用域文件服务器,DNS如何设置?用的是公共DNS服务器
    2016年9月2日 2:52

答案

  • 你好,

    你需要部署VPN或者配置端口映射来使外网用户使用内网资源。

    一般来说,VPN的话你需要建一台VPN服务器, 端口映射的话在防火墙和交换机都可以配置。

    Best Regards,

    Anne


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2016年9月2日 6:44
    版主
  • 更正一下,趁着国庆放假试了试win7的l2tp/ipsec还是比较方便的,推荐使用,看来要多关注一些windows了:-)
    2016年10月11日 7:12

全部回复

  • 你好,

    你需要部署VPN或者配置端口映射来使外网用户使用内网资源。

    一般来说,VPN的话你需要建一台VPN服务器, 端口映射的话在防火墙和交换机都可以配置。

    Best Regards,

    Anne


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2016年9月2日 6:44
    版主
  • 外网ISP的DNS不用设置SRV记录????外网用户如何定位域控制器????
    2016年9月3日 23:58
  • 你好,

    如果设置了VPN, 那么连上VPN之后,会建立一个VPN隧道以及一个虚拟网卡,这张虚拟网卡上的DNS一般就是内网的DNS,这个可以在vpn服务器上设置,这样就可以解析内网的地址了。

    Best Regards,

    Anne


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2016年9月5日 2:21
    版主
  • 不用VPN,手动应该如何设置DNS????
    • 已编辑 tutulu 2016年9月6日 6:08
    2016年9月6日 6:07
  • 你好,

    当你的用户在外网的时候,你解析到的应该是相关服务器的外网地址,比如VPN服务器的外网地址,如果在防火墙或其他网络设备上配置端口转发的话,解析到的也应该是外网地址。DNS就应该用公网的DNS服务器。如果你想直接解析到内网的私有地址的话,那你可以修改host文件,在外网维护一个有关内网的DNS zone.

    个人觉得,你应该先部署好如何让外网用户进入内网,配置VPN服务器或端口转发,部署好之后,你再想你是需要外网用户解析到什么地址。

    Best Regards,

    Anne


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.


    2016年9月8日 7:02
    版主
  • 端口映射我会做,我就想知道类似以下的DNS SRV纪录那些是*****必须*******在外网ISP的DNS上设置的????可以给我一个清单吗?因为在客户的生产环境中没办法一条一条去试!!!!
    _ldap._tcp.internal.example.com SRV 0 100 389 dc1.internal.example.com.
    _kerberos._udp.internal.example.com SRV 0 100 88 dc1.internal.example.com.
    2016年9月8日 8:07
  • 你好,

    根据你第一个帖子中的要求,你是需要外网用户可以访问到域文件服务器。假设你的域文件服务器的内网地址是192.168.2.1, 你在防火墙上配端口转发,防火墙的外网地址是10.10.10.10, 那你配端口转发时,就设置发向IP 10.10.10.10, port 389的traffic 转发到192.168.2.1, port 389. 这样就实现了访问内网的文件服务器的目的。你的DNS可以这样配置,在host 文件中添加一条记录 fileserver.test.com A 10.10.10.10. 然后你通过fileserver.test.com 这个名字来访问域服务器。

    Best Regards,

    Anne


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.


    2016年9月8日 8:38
    版主
  • 帖子里已经说得很清楚了...........既然是域文件服务器说明是一台已经加入域的成员服务器,那么域用户想要访问这台域文件服务器需要首先定位****域控制器*****进行身份验证!!!!!!!!!懂?????????
    2016年9月8日 9:32
  • 哇哦,猴赛雷啊,问问题都这么个语气
    2016年9月11日 9:27
  • 你好,

    >帖子里已经说得很清楚了...........既然是域文件服务器说明是一台已经加入域的成员服务器,那么域用户想要访问这台域文件服务器需要首先定位****域控制器*****进行身份验证!!!!!!!!!懂?????????

    很抱歉一开始没有想到验证的问题。

    在我看来,如果你想把相关的SRV记录注册到公网的DNS服务器上做相关验证的话,很大程度上会增加安全风险,这就相当于将你的DC暴露在公网上了,同时,注册完SRV记录后,还需要一条条配端口转发,这样的话,似乎还是比较麻烦的。

    如果你一定要这么做的话,可以参考下面的文章来配置相关的SRV记录:

    https://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx

    一个比较简单的方法就是展开你的DC上的DNS的树状结构,将相应得SRV记录找出来:

    注册相应的SRV记录是第一步,注册完SRV记录后你还要注册相应的DC的A记录,才能实现外网用户定位内网DC的目的。但是就像我上面提过的,这是很不安全的。

    Best Regards,

    Anne


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2016年9月13日 1:32
    版主
  • ad dc 用的是kerberos验证,放在公网上我想不出有什么不安全的,如果直接攻击DC是非常困难的,其他人有什么招能攻击DC吗,分享下,呵呵。另外,我说话的口气习惯了,和客户说话也这样,楼主别往心里去
    2016年9月18日 1:59
  • 你好,

    如果可以保证安全性的话,那你可以这么做,如何建SRV记录的话,你可以参照你内网的DC/DNS上的SRV记录。不过我个人还是比较倾向建VPN。

    (“另外,我说话的口气习惯了,和客户说话也这样,楼主别往心里去”。没关系,欢迎大家表达各自的想法,相互探讨。)

    Best Regards,

    Anne


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月19日 3:18
    版主
  • 你好,

    请问以上回复是否对你有帮助,如果有的话你可以将有用的回复标记为答案,方便别人的阅读。如果还有其他问题的话,欢迎反馈。

    Best Regards,

    Anne


    Please remember to mark the replies as answers if they help and unmark them if they provide no help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年9月21日 7:30
    版主
  • 其实也没有完全解答我的问题,我想知道****必须设置的条目******,难道内网DNS的所有条目都要加到外网上???????
    2016年9月28日 12:36
  • 我还有一个问题,我不明白微软为什么以 "_ldap._tcp.internal.example.com SRV 0 100 389 dc1.internal.example.com."  这条SRV纪录作为定位域控制器的依据,389是ldap的端口。
    我认为应该以 "_kerberos._udp.internal.example.com SRV 0 100 88 dc1.internal.example.com."  这条纪录作为定位DC的依据,这样的话就可以把域控制器和ldap数据库分开,比域控制器和ldap数据库在同一个主机上要安全。
    另外,我认为在实际工程中尽量少用VPN,理由如下:
    1,VPN需要安装客户端,增加日后维护工作量。
    2,信息工程应简单直接,VPN设置复杂,增加单点故障。
    3,终端用户需要掌握必要的知识才能使用vpn,而一个网络系统的建成应使用户使用方便,傻瓜式的即插即用。
    2016年9月29日 10:32
  • 更正一下,趁着国庆放假试了试win7的l2tp/ipsec还是比较方便的,推荐使用,看来要多关注一些windows了:-)
    2016年10月11日 7:12