Беспроводной клиент Windows продолжает использовать предыдущий DNS-сервер после подключения к Cisco VPN

У нас есть клиенты Windows XP SP2, работающие с клиентом Cisco VPN 3000 (3030) по беспроводным соединениям. Когда VPN отключен, клиенты получают свои DNS-серверы от DHCP (они определенно не настроены статически D). В некоторых случаях клиенты продолжают пытаться подключиться к этому DNS-серверу даже после того, как они подключились к VPN, хотя концентратор VPN выдает разные адреса DNS-сервера.

Кто-нибудь видел это?

Спасибо

Вполне возможно, что настройки вашего DNS-сервера, которые выдает ваш VPN-концентратор, не включены в сети с разделенным туннелем, которые упоминает GregD. Если ваша область VPN DHCP выдает DNS-серверы, и они НЕ покрываются сетями с разделенным туннелем, клиент попытается подключиться к DNS-серверам через шлюз по умолчанию, который будет локальным маршрутизатором, к которому они подключены.

Я должен не согласиться с утверждением о том, что полная VPN более безопасна - вы не хотите, чтобы трафик вашего веб-браузера проходил через корпоративную глобальную сеть через VPN, особенно если клиент не управляется компанией, и вы не контролируете ее. через AV, исправления и т. д. - вы можете передавать все виды плохих вещей в вашу корпоративную сеть.

Я считаю, что это связано с порядком подключения сетевых адаптеров на компьютерах с XP. Ваше беспроводное соединение имеет более высокий приоритет, чем ваше VPN-соединение, и использует настроенные там DNS-серверы, прежде чем оно использует DNS-серверы, настроенные в вашем VPN-соединении. Чтобы проверить это:

1) откройте окно сетевых подключений

2) Зайдите в Расширенное меню, Расширенные настройки ...

3) В верхней части этого окна перечислены ваши сетевые подключения в порядке их обращения. Поместите ваше VPN-соединение в верхнюю часть списка, и они должны начать использовать соответствующие DNS-серверы, пока они находятся в VPN.

Обычно для этого есть только одна причина: вы используете разделенное туннелирование, а не полное. В первом случае вы предоставляете им локальный доступ к локальной сети / Интернету, а также им предоставляется доступ к VPN, в ipconfig будут отображаться две интерфейсные карты.

При полном туннелировании весь трафик должен проходить через VPN-туннель, что с точки зрения безопасности является наиболее желательной настройкой.

Я не видел это конкретно, но вы пробовали команду 'ipconfig /flushdns' ... если так, это решает проблему, даже временно?

Одним из обходных путей, который может подойти пользователям, которые в основном находятся вне корпоративной сети, является включение входа VPN до входа в Windows, в параметрах Cisco VPN Client. Это должно помочь сохранить homedrives и разрешить сценарии входа. Конечно, это раздражает пользователей, которые в основном заходят в офис.

Еще одно предложение, которое я слышал, заключается в том, что конкретное приложение может кэшировать свои попытки разрешения имен, даже после того, как вы очистили кэш распознавателя DNS, так что открытое окно Explorer может поверить, что serverx не может быть повторно подключен, пока вы не перезапустите Explorer, как бы я ни был. смог подтвердить это.

Я столкнулся с этой проблемой, расстраивать проблемы неприятно, потому что пользователи по определению находятся вне офиса, когда испытывают это. Еще один фактор, который усложняет настройку разделенного туннеля, заключается в том, что если ваш внутренний домен - company.com, у вас вполне может быть внешний публичный DNS для www.company.com и т. Д. - когда ваш пользователь пытается разрешить внутренний fileserver.company.com, он ' Я получу авторитетный ответ от внешнего DNS, что «файловый сервер» не существует.