Question DNS «principal» lorsqu'il existe plusieurs connexions réseau


J'ai une machine qui dispose d'une connexion réseau LAN, qui est utilisée pour l'accès à Internet. Cette machine doit également être connectée à une connexion VPN. Lorsque le VPN est connecté, Windows semble demander aux serveurs DNS de la connexion VPN premier, puis les serveurs DNS configurés pour la connexion LAN. J'ai besoin que ce soit l'inverse pour les problèmes de performances, car le VPN est lent.

Alors, comment puis-je configurer lequel des serveurs DNS de la connexion doit être le principal sur une machine Windows? Le DNS VPN distant fournit une résolution de nom qui n'est pas publique, donc j'en ai toujours besoin.

J'ai déjà décoché l'option "Utiliser la passerelle par défaut sur le réseau distant" dans les paramètres TCP / IP.

modifier:

J'expérimente sur une machine Windows 7, mais je dois vraiment pouvoir le faire à la fois sur Windows Server 2003 et Windows 7.

Je pense que ma table de route est OK. 10.0.0.1 est ma passerelle locale, tandis que 192.168.0.82 est celui de la connexion VPN.

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         10.0.0.1         10.0.0.3     20
         10.0.0.0    255.255.255.0         On-link          10.0.0.3    276
         10.0.0.3  255.255.255.255         On-link          10.0.0.3    276
       10.0.0.255  255.255.255.255         On-link          10.0.0.3    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0     192.168.0.82     192.168.0.89     21
     192.168.0.89  255.255.255.255         On-link      192.168.0.89    276
   217.157.12.231  255.255.255.255         10.0.0.1         10.0.0.3     21
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link          10.0.0.3    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link          10.0.0.3    276
  255.255.255.255  255.255.255.255         On-link      192.168.0.89    276
===========================================================================
Persistent Routes:
  None

Lorsque je vais dans Connexions réseau -> Paramètres avancés pour modifier l'ordre de liaison du réseau, je ne peux afficher que les connexions suivantes: Connexion au réseau local et [Connexions d'accès à distance], où la connexion au réseau local est répertoriée en premier. La connexion VPN que j'utilise n'est pas répertoriée (bien qu'elle existe dans la fenêtre "Connexions réseau").


5
2018-05-22 15:47


origine




Réponses:


D'après le libellé de votre question, il semble que si Windows doit résoudre un nom, il s'attend à ce qu'il demande au serveur DNS principal. Et si le serveur DNS principal ne connaît pas la réponse, il demandera ensuite au secondaire.

J'espère que ce qui précède n'est pas ce à quoi vous vous attendiez, mais si c'est le cas, laissez-moi vous montrer pourquoi c'est une erreur.

Le DNS ne fonctionne pas de cette façon. La seule fois où un résolveur basculera vers le serveur DNS secondaire est quand le primaire ne répond pas du tout. Un exemple clarifiera:

Supposons que vous ayez un serveur DNS principal à 1.1.1.1 et un serveur secondaire à 2.2.2.2. Votre client est configuré avec eux dans cet ordre. 2.2.2.2 héberge une zone privée foocompany.local; 1.1.1.1 n'héberge aucune zone et effectue des recherches de racine pour les hôtes Internet.

Si votre client tente de rechercher someserver.foocompany.local, la version 1.1.1.1 renverra NXDOMAIN (par exemple, "J'ai interrogé les serveurs racine et ils ont dit que ce domaine n'existait pas"). Votre résolveur ne pas demandez ensuite à 2.2.2.2 ce qu'il sait, à moins que 1.1.1.1 ne réponde pas dans le délai imparti (généralement 2 secondes). Il suffit de cesser de chercher. De plus, votre client cache le résultat NXDOMAIN, conformément à RFC2308. Même si vous modifiez les paramètres de la carte réseau de sorte que 2.2.2.2 soit le serveur principal, vous obtiendrez toujours les résultats NXDOMAIN jusqu'à l'expiration du cache NXDOMAIN local. Vous pouvez le vérifier en émettant ipconfig / displaydns à l'invite de commande.

IIRC, le résolveur DNS de Windows met en cache NXDOMAIN pendant une courte période - 5 minutes. Mais cela peut quand même être ennuyeux.

De toute façon. Je me rends compte que ceci est un peu tangent à votre problème, mais clarifier ce point peut apporter une épiphanie à votre projet. Par exemple, vous voudrez peut-être que le serveur DNS du VPN soit d'abord résolu après tout. Bien que ce soit un peu plus lent, il en sait plus, car il peut résoudre les deux domaines privés au VPN et domaines Internet publics; alors que le résolveur DNS de réseau local ne sait rien de ces domaines privés du VPN.

À votre santé!


13
2018-05-23 11:05





On dirait que vous voulez installer tunneling fractionné. Commencez par vérifier que votre logiciel VPN configure correctement le routage sur votre PC client. La commande:

route print

Affiche la table de routage de votre hôte client. Vous devez avoir une entrée pour votre réseau de bureau (?) Qui pointe vers la passerelle par défaut de votre interface VPN. La chose principale est que votre itinéraire par défaut avec les points de mesure les plus bas sur la passerelle par défaut de votre interface LAN.

Une fois que vous avez confirmé que le routage est configuré correctement, la prochaine chose à vérifier est l'ordre de liaison de vos interfaces réseau. Il s'agit de l'ordre dans lequel divers services réseau testent chacune de vos cartes réseau. Vous trouverez des instructions sur la façon de le changer sous Windows XP. ici.

Je ne trouve pas d'article similaire dans la base de connaissances pour Vista, mais en résumé:

Depuis la fenêtre 'Connexions réseau':

Organize -> Layout -> Menubar

La barre de menu apparaîtra. De là:

Advanced -> Advanced Settings

Vous permettra d'entrer dans le dialogue d'options dont vous avez besoin. Dans votre cas, votre adaptateur VPN doit être répertorié sous votre interface LAN.

REMARQUE: le fait de modifier l'ordre de liaison afin que votre connexion Internet locale soit utilisée en premier risque d'entraîner différents problèmes liés à la résolution de noms pour les hôtes de votre réseau VPN. Il est difficile de déterminer sans plus d'informations.

EDIT: Après avoir pensé à cela un peu plus, je ne sais pas comment vous pourriez ne pas utilisez votre DNS VPN lorsque vous êtes connecté à votre VPN. Si vous utilisez des serveurs DNS Internet, vous ne pourrez résoudre aucun problème sur le VPN qui ne fait pas partie du DNS public. La seule façon pour moi de le faire serait de configurer un serveur DNS local et de le transmettre aux requêtes de votre zone DNS VPN (* .local, de votre exemple) vers 192.168.0.3, et tout le reste vers le serveur DNS de votre fournisseur d'accès à Internet .

L'utilisation du serveur DNS de l'entreprise vous cause-t-elle vraiment autant de problèmes de performances? Chaque résolution sera mise en cache et votre trafic de données réel ira directement sur Internet, en contournant votre VPN.


3
2018-05-22 16:35



Merci pour votre réponse; J'ai vérifié les choses que vous suggérez, mais j'ai toujours des problèmes. J'ai mis à jour ma question avec plus d'informations, au cas où cela pourrait aider à résoudre ce problème. - driis
Pouvez-vous coller le résultat de "nslookup www.google.com" pour confirmer le serveur DNS contre lequel vous résolvez? - Murali Suriar
Oui: Serveur: serverdc.company.local Adresse: 192.168.0.3 Réponse ne faisant pas autorité: Nom: www.l.google.com Adresses: 74.125.77.99 74.125.77.147 74.125.77.104 74.125.77.103 Alias: www.google.com - driis


Lorsque le VPN est connecté, Windows   semble demander aux serveurs DNS du   Connexion VPN d'abord, puis le DNS   serveurs configurés pour le réseau local   lien.

C'est normal.

La plupart des VPN prennent en charge un mode de vue divisé et / ou privé, dans lequel vous pouvez avoir demander d'abord le DNS interne, sinon le DNS public renverrait l'adresse externe ou NXDOMAIN.

J'ai besoin que ce soit l'inverse   pour les problèmes de performances, depuis le VPN   est lent.

Il peutêtre possible de contourner ce problème, mais seulement si votre zone DNS interne est complètement privée (c'est-à-dire en utilisant un faux TLD tel que ".local"). Selon la réponse de Murali, vous devez exécuter un serveur DNS local qui transfère la requête au VPN ou au DNS public en fonction du suffixe.


2
2018-05-23 10:09





C'est une vieille question, mais je l'ai trouvée en travaillant sur quelque chose de similaire et j'ai quelques informations supplémentaires à ajouter:

  1. Bien que quux soit techniquement correct, Windows autorise ce comportement. L'option 'Utiliser la passerelle par défaut sur le réseau distant' fait exactement cela. Lorsque cette case est cochée, si le DNS local renvoie NXDOMAIN, Windows essaie ensuite le DNS VPN. Cela ne vient pas ici, puisque Windows commence par essayer le VPN. Mais s'il pouvait changer cet ordre, le fait de cocher cette option lui donnerait exactement le comportement qu'il recherchait.

  2. Il existe un moyen de faire ce que vous voulez, parce que je viens de le réaliser. Mon réseau domestique dépendait auparavant du serveur DHCP intégré de mon routeur, configuré pour annoncer les serveurs OpenDNS. J'ai récemment configuré un serveur DHCP + DNS sur une machine distincte du réseau, configurée pour transférer à OpenDNS pour des adresses non locales.

    Pour une raison quelconque, cela a changé la façon dont Windows donne la priorité aux serveurs DNS. Auparavant, il utilisait d'abord le DNS VPN (mon comportement souhaité), à présent, il utilise d'abord le DNS local (votre comportement souhaité). Si j'éteins mon DHCP + DNS local et que je recommence à utiliser mon routeur, le VPN recommence.

Cette information peut vous aider à identifier le problème ... si vous le résolvez, faites-le-moi savoir, car j'essaie de comprendre comment faire le contraire.

Note: Je sais que cela devrait peut-être être un commentaire, mais il y a une exigence de représentant ...


2
2017-07-11 14:48



Ceci est un excellent point. J'ai vérifié que XP et Windows 2003 feront d'abord DNS via un adaptateur VPN à support.microsoft.com/kb/942440 - Je n'ai pas encore confirmé (de source automatique - rien de personnel) qu'il demandera via le serveur DNS configuré de la carte réseau sur la réponse NXDOMAIN du serveur DNS du VPN. - quux