Вопрос или проблема
У нас есть своеобразная проблема с нашим решением. Некоторые клиенты пытаются запустить VPN-соединение, даже когда они подключены к внутреннему домену, DomainName.local, и делают это весь день. Попытки блокируются firewall, но это создает много лишнего трафика и шумов в сети.
Не будучи на 100% уверенным, я думаю, что это в основном клиенты с проводным подключением (через док-станцию), но я также видел это на клиентах, которые должны быть подключены к беспроводным сетям. Мы разворачиваем наши профили через Intune с использованием метода OMA-Uri/ProfileXml, и он правильно настроен. У нас есть только один суффикс домена, DomainName.local, и я могу проверить на клиенте с помощью команды “Get-VpnConnectionTrigger”, что суффикс домена действительно был применен к профилю VPN. Их внутреннее соединение имеет только Domain.local в качестве суффикса.
Строка с разделителем запятыми для идентификации доверенной сети. VPN не будет подключаться автоматически, когда пользователь находится в своей корпоративной беспроводной сети, где защищенные ресурсы напрямую доступны для устройства.
Блог u/richardmhicks:
Когда настроено определение доверенной сети, клиент VPN будет оценивать DNS-суффиксы, назначенные всем физическим (не виртуальным или туннельным) адаптерам, которые активны. Если какой-либо из них совпадает с установленными администратором настройками доверенной сети, клиент определяется как находящийся во внутренней сети, и соединение VPN не будет установлено. https://directaccess.richardhicks.com/2020/03/24/always-on-vpn-trusted-network-detection/
Тем не менее, некоторые клиенты, находясь в внутреннем домене, за день пытаются подключиться к VPN почти 100 раз.
Ричард Хикс в комментарии говорит, что использование TND можно избежать совсем, если вы просто не можете разрешить FQDN сервера VPN в внутренней сети. Но если создать DNS-запись MyAoVpn.domain.com и указать на ничего в внутренней сети, это не вызовет ли две проблемы?
Клиенты будут кэшировать, что MyAoVpn.domain.com разрешается в ничего на протяжении x минут.
Когда клиенты подключены к VPN, они будут проверять внутренний DNS на наличие MyAoVpn.domain.com, и это будет разрешаться в ничего.
У кого-нибудь еще были проблемы с TrustedNetworkDetection?
Ответ или решение
Проблема с обнаружением доверенной сети в Microsoft Always On VPN
Ваша ситуация с проблемами обнаружения доверенной сети (TND) в решении Microsoft Always On VPN является довольно распространенной и может вызывать значительное беспокойство в IT-отделах компаний. Давайте подробно рассмотрим, возможные причины и пути решения данной проблемы.
1. Понимание проблемы
Некоторые клиенты регулярно пытаются установить VPN-соединение, даже когда они находятся внутри корпоративной сети (например, когда они подключены к домену DomainName.local). Это создает ненужный шум и трафик в сети, так как попытки соединения блокируются брандмауэром.
Вы правильно отметили, что TND работает на основе обработки DNS-суффиксов, назначенных физическим адаптерам. Когда адаптер обнаруживает соответствие с заданным администратором набором доверенных сетей, клиент не должен пытаться подключаться к VPN.
2. Проверка конфигурации
Поскольку вы развертываете профили через Intune с использованием OMA-Uri/ProfileXml, убедитесь в следующих аспектах:
-
Проверка DNS-суффиксов: Используя команду
Get-VpnConnectionTrigger, вы должны убедиться, что сценарий конфигурирования корректно наносит DNS-суффикс для вашего VPN-профиля. Даже если вы уверены, что настроен один суффикс, стоит проверить, не создались ли дополнительные записи DNS от старых конфигураций или конфликтующих настроек. -
Правильное определение TND: Убедитесь, что строка, содержащая DNS-суффиксы под доверенной сетью, задана корректно. Если ваши клиенты подключены через проводное соединение, возможно, физический адаптер не получает актуальную конфигурацию DNS.
3. Причины возникновения проблемы
-
Кэширование DNS: Как вы правильно заметили, если клиенты получат кэшированное значение для
MyAoVpn.domain.com, которое будет указывать на пустоту в течение определенного времени, они не смогут установить соединение при переключении на VPN. Это также может негативно сказаться на работе при подключении через VPN. -
Несоответствия в адаптерах: Важно удостовериться, что все физические адаптеры, на которых работают клиенты, корректно обрабатывают TND. Если какой-либо адаптер настроен неправильно или имеет конфликты в конфигурациях, это может стать причиной неверной работы TND.
4. Рекомендации по исправлению ситуации
-
Перепроверьте настройку DNS: Убедитесь, что FQDN вашего VPN-сервера не разрешается в вашей внутренней сети. Это иногда помогает избежать ненужных попыток соединения.
-
Используйте инструменты диагностики: Инструменты, такие как
tracertиnslookup, могут помочь вам определить, как устройства разрешают DNS и куда направляется трафик при попытке подключения. -
Логи событий: Изучите журналы событий на клиентских устройствах и VPN сервере. Это может предоставить информацию о том, почему TND не срабатывает.
5. Заключение
Проблемы с доверенной сетью в Microsoft Always On VPN могут доставлять неудобства, особенно когда они ведут к ненужному трафику. Проведя всестороннее исследование вашей конфигурации и убедившись в правильности всех настроек, у вас есть хорошие шансы решить данную проблему.
Если же проблема не исчезнет после всех попыток, возможно, вам стоит обратиться к службе поддержки Microsoft для более детальной диагностики.