SSTP/DNS/Sufixo DNS Específico de conexão/Métrica de Interface

Bom dia, homens e mulheres,

Era assim até algum tempo atrás, que eu podia configurar um SSTP RRAS no Windows Server. Configurava o roteamento para somente local, ou tudo, usava as configurações DHCP padrão do servidor, que definiam o sufixo DNS no cliente para o sufixo do domínio. E então, do cliente, era possível fazer ping em qualquer coisa na rede usando o sufixo DNS.

Exemplo: client.local. Conectar ao SSTP. O sufixo DNS específico da conexão é client.local. Fazer ping em client-hq-dc01. Claro, porque o servidor DNS local não tem ideia de que client-hq-dc01.home.local é. No entanto, fazer ping em client-hq-dc01.client.local e temos dias felizes, bons tempos.

Recentemente, porém, você pode se conectar ao mesmo servidor SSTP e não consegue fazer ping em nada na rede, mesmo especificando o sufixo DNS correto. Fazer ping em client-hq-dc01.client.local não resolve nada e o NSlookup revela que está usando o servidor DNS da rede remota da conexão.

A solução para isso agora é acessar a conexão de rede da conexão SSTP no cliente, desmarcar a métrica de interface automática e configurá-la para algo menor que a métrica de interface automática atribuída à sua conexão de área local, ou seja, 15.

Depois de fazer isso, se você fizer ping em client-hq-dc01, agora resolve para client-hq-dc01.client.local e, se fizer NSlookup, ele usa o DNS da rede remota do SSTP.

Isso resolve o problema imediato, porém a questão agora é que, se tento fazer ping em um recurso local pelo nome, por exemplo, desktop-delwin, ele tenta resolver isso via o servidor DNS da rede remota do SSTP. Especificar o sufixo DNS na solicitação não faz diferença, ou seja, fazer ping em desktop-delwin.home.local ainda tenta resolver via o DNS da rede remota do SSTP. Consultar esse nome de computador com o servidor DNS local na consulta resolve corretamente o nome.

Alguém mais já enfrentou isso?

O que mudou?

Por que a Microsoft nos odeia?

Steve Balmer sempre fica tão empolgado assim?

Isso pode ser consertado sem intervenção individual no computador do cliente?

A métrica de interface pode ser definida pelo servidor?

Será que fiz algo muito errado e é só comigo?

Como está sua lista de buscas DNS nas propriedades do adaptador VPN? Parece que falta o obrigatório “.” como última linha.

Edit: dependendo do comportamento desejado, você pode querer o “.” local antes do domínio remoto. Além disso, acabei de ler que há um bug do final do ano passado relacionado ao Windows 11 não respeitar as listas de sufixos DNS, que pode ainda não estar corrigido.

Você pode adicionar um sufixo DNS a uma conexão VPN do Windows com um comando PowerShell. É assim que sempre implementamos. Pode ser mais fácil usar o Set-VPNConnection com a flag -DNSSuffix e finalizar. Envie isso usando suas ferramentas de gerenciamento remoto, finalizando o processo.

Por padrão, local.local, remote.local. Configurar a métrica de interface da conexão SSTP para 15 muda isso para remote.local, local.local. Em ambas as instâncias, só usa a primeira, nunca tenta a segunda.

Felizmente, a maioria dos computadores está rodando Windows 10. Pergunto-me se o problema se estende ao 11 e se a MS simplesmente não sabe disso ou não admitiu.

Então, se você usar apenas o servidor DHCP remoto, sem uma faixa de IP dedicada dentro do RAS, ele configura o sufixo DNS correto na conexão. De qualquer forma, configurá-lo manualmente não resolve o problema.

Sim, você está faltando a terceira (ou primeira) entrada — um ponto único. Algo como “meu-hostname.” sempre estará na rede conectada localmente.

Você tem um registro DNS curinga em seu DNS no domínio que o VPN SSTP acessa?

Por exemplo, um registro para *.domain.local

Isso causará o comportamento que você está vendo.

Haha. Na verdade, fiz isso em um roteador Draytek outro dia ao configurar uma VPN site-to-site. Meu entendimento é que isso apenas resolve tudo para onde o curinga aponta. De qualquer forma, não tenho essa configuração no servidor DNS. Isso não faria um ambiente divertido.

Mas, conhecendo minha propensão à idiotice, na verdade, revisei isso duas vezes.

É uma VPN de tunelamento total? Isso também pode causar isso.

Da mesma forma, o sufixo DNS para o domínio local está definido na máquina que se conecta à VPN? Se não, está definido no servidor DHCP ao qual o computador deles está se conectando?

Se essas são redes domésticas de usuário final, sinceramente, não vejo como isso é seu problema.