环境描述
本地客户端 是 172.16.20.1/24 ,AD_DNS 为192.168.20.1/24,当我连接家中OPENVPN服务器后,长时间不关机,锁屏后第二天无法登录到域控,提示没有域服务器提供登录,类似的提示。
问题分析
域登录使用的是Kerberos认证协议,它依赖于域控制器(KDC)的票据。以下是相关时间设置:如果无法连接域控制器(如DNS不可用),则票据无法续期,用户无法登录。票据有效期(默认 10 小时):当票据过期时,客户端需要联系域控制器进行更新。
而这时无法联系到DNS 服务器,就无法登录了。
解决办法
- 配置静态路由到 DNS服务器 不走 VPN隧道
- 配置指定的DNS服务器
- 取消DNS 泄露保护
pull-filter ignore "block-outside-dns"
pull-filter ignore "dhcp-option DNS"
dhcp-option DNS 192.168.20.1
dhcp-option DNS 114.114.114.114
route 192.168.20.0 255.255.255.0 net_gateway