Keith Stein's questions

我正在尝试设置用户通过 VPN 连接到我们的 Azure 托管网络。所有客户端计算机都运行 Windows 10。通过将所需设置直接添加到系统电话簿文件 ( C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk)，在客户端计算机上安装连接。

我遇到了一个有趣的情况，有些用户可以正常连接，但其他用户只有在尝试使用管理员权限启动连接时才能连接。

这些用户得到的错误是：

错误 798：找不到可用于此可扩展身份验证协议的证书

尝试通过 Windows 工具栏中的网络菜单连接或尝试通过 rasphone 或 rasdial 连接时会出现此错误。但是有两件有趣的事情需要注意：

• 首次安装 VPN 连接时，这些相同的用户没有遇到此问题。起初它工作正常。几天后开始出现此问题。
• 以管理员身份运行 rasphone 或 rasdial 时不会发生此错误。以管理员身份运行时，连接已成功建立。

如您所知，身份验证应该通过证书完成。确切地说是自签名证书。客户端证书安装在Current User\Personal证书存储中。由于根证书是自签名的，因此需要将其添加为客户端设备的 CA，以便将客户端证书识别为有效。因此根证书安装在Current User\Trusted Root Certification Authorities和Local Machine\Trusted Root Certification Authorities证书存储中。

这种完全相同的设置，在完全相同的商店中具有完全相同的证书，以及完全相同的电话簿条目，在某些设备上一直有效，但在其他设备上需要管理员权限。证书必须有效，否则连接将永远无法工作。那么在普通用户上下文中是什么导致连接失败呢？

下面是有问题的完整电话簿条目（连接名称和网关地址已删除）。

[Connection Name]
Encoding=1
PBVersion=6
Type=2
AutoLogon=0
UseRasCredentials=1
DialParamsUID=394750015
Guid=C461B777D7AB504AB0AECABC914B7A56
VpnStrategy=7
ExcludedProtocols=0
LcpExtensions=1
DataEncryption=256
SwCompression=1
NegotiateMultilinkAlways=1
SkipDoubleDialDialog=0
DialMode=0
RedialAttempts=3
RedialSeconds=5
IdleDisconnectSeconds=0
RedialOnLinkFailure=1
CallbackMode=0
CustomDialDll=
CustomDialFunc=
CustomRasDialDll=
ForceSecureCompartment=0
DisableIKENameEkuCheck=0
AuthenticateServer=0
ShareMsFilePrint=1
BindMsNetClient=1
SharedPhoneNumbers=0
GlobalDeviceSettings=0
PrerequisiteEntry=
PrerequisitePbk=
ShowMonitorIconInTaskBar=1
CustomAuthKey=13
CustomAuthData=314442430D00000048000000020000004800000017000000000000000000000000000000000000000000000000000000000000000000FE0006000100FD001800
CustomAuthData=97390292EA748C1C312875C0B087FFECAD8EACD100000000
AuthRestrictions=128
IpPrioritizeRemote=0
IpInterfaceMetric=0
IpHeaderCompression=0
IpAddress=0.0.0.0
IpDnsAddress=10.20.0.5
IpDns2Address=10.20.0.6
IpWinsAddress=0.0.0.0
IpWins2Address=0.0.0.0
IpAssign=1
IpNameAssign=2
IpDnsFlags=0
IpNBTFlags=1
TcpWindowSize=0
UseFlags=2
IpSecFlags=0
IpDnsSuffix=
DisableClassBasedDefaultRoute=1
IDI=
IDR=
ImsConfig=0
IdiType=0
IdrType=0
ProvisionType=0
PreSharedKey=
CacheCredentials=0
NumCustomPolicy=0
NumEku=0
UseMachineRootCert=0
Disable_IKEv2_Fragmentation=0
PlumbIKEv2TSAsRoutes=0
NumServers=0
RouteVersion=1
NumRoutes=1
Routes=0100000002000000100000000A0000000000000000000000000000000000000000000000
NumNrptRules=0
AutoTiggerCapable=1
NumAppIds=0
NumClassicAppIds=0
SecurityDescriptor=
ApnInfoProviderId=
ApnInfoUsername=
ApnInfoPassword=
ApnInfoAccessPoint=
ApnInfoAuthentication=1
ApnInfoCompression=0
DeviceComplianceEnabled=0
DeviceComplianceSsoEnabled=0
DeviceComplianceSsoEku=
DeviceComplianceSsoIssuer=
WebAuthEnabled=0
WebAuthClientId=
FlagsSet=0
Options=0
DisableDefaultDnsSuffixes=0
NumTrustedNetworks=0
NumDnsSearchSuffixes=0
PowershellCreatedProfile=0
ProxyFlags=0
ProxySettingsModified=0
ProvisioningAuthority=
AuthTypeOTP=0
GREKeyDefined=0
NumPerAppTrafficFilters=0
AlwaysOnCapable=0
DeviceTunnel=0
PrivateNetwork=0

NETCOMPONENTS=
ms_msclient=1
ms_server=1

MEDIA=rastapi
Port=VPN3-0
Device=WAN Miniport (IKEv2)

DEVICE=vpn
PhoneNumber=MyAzureGatewayAddress.vpn.azure.com
AreaCode=
CountryCode=0
CountryID=0
UseDialingRules=0
Comment=
FriendlyName=
LastSelectedPhone=0
PromoteAlternates=0
TryNextAlternateOnFail=1

这是在 GUI 中打开连接文件时的样子：

我有一个场景，Windows 客户端设备将连接到两个不同的 VPN 网络。每个远程网络都有单独的地址空间，10.0.0.0/16并且10.20.0.0/16分别。IP 路由在客户端计算机上建立，以便这些 IP 范围的流量通过正确的 VPN 连接发送，所有其他流量通过 Internet 正常发送。

这就是我们的乐趣开始的地方。每个网络还托管它自己的 Active Directory 域，我将其DomainA.com称为DomainB.com. 理想情况下，我希望用户能够通过 FQDN 访问任一域中的资源，而不仅仅是 IP 地址。因此，例如，server.DomainA.com将解析到10.0.0.50并通过第一个 VPN 连接进行联系，server.DomainB.com并将解析到10.20.0.50并通过第二个 VPN 进行联系。

当然，网络中的DNS服务器对.com10.0.0.0/16一无所知DomainB.com，网络中的DNS服务器对.com10.20.0.0/16也一无所知DomainA。并且互联网 DNS 不知道任何一个域的正确地址。

在这种情况下，您将如何让 DNS 解析为DomainA.com和DomainB.comInternet 工作？我觉得我应该能够告诉 Windows“使用 X DNS 服务器DomainA.com”和“使用 Y DNS 服务器DomainB.com”。有没有办法做到这一点？如果没有，我可以对客户端设备或远程网络进行其他更改吗？

考虑以下 PowerShell 命令：

Add-VpnConnectionRoute -ConnectionName "SomeConnection" -DestinationPrefix 10.0.0.0/16 -AllUserConnection

执行此命令后，每当 VPNSomeConnection连接上时，Windows 会自动为 增加一条 IP 路由10.0.0.0/16，并在断开连接时自动删除该路由。

我正在寻求一些关于它是如何工作的洞察力，并且我想找出这些信息在 Windows 中的保存位置。换句话说，Windows在哪里存储“连接VPNSomeConnection时，为”添加路由的指令10.0.0.0/16？

在记事本中打开系统电话簿 ( C:\ProgramData\Microsoft\Network\Connections\Pbk\rasphone.pbk) 我看到很多设置，但没有文字10.0.0.0。所以它似乎没有与其他设置一起存储在那里。这意味着它要么在某个其他系统文件中，要么在注册表中的某个位置。

有谁知道那可能在哪里？

这应该是一个简单的问题来回答，我只是还没有那么有经验。

我正在现有办公网络中设置 Active Directory 域。该网络以前仅由十几台 Windows 机器和几部 VoIP 电话组成，所有这些都使用路由器的 DHCP 进行处理。我已向其中添加了一台 Windows Server 2019 机器，我们将其称为Controller，它已配置为新域的域控制器，我们将其称为mydomain.com。

到目前为止，一切都很好。当我尝试将机器加入域时，问题就出现了。

尝试将 Windows 10 Pro 计算机加入域时，我收到以下消息：

无法联系域“mydomain.com”的 Active Directory 域控制器。

我做了一些ping测试：

• ping xxx.xxx.xxx.xxx（Controller'sIP地址）有效。
• ping Controller也有效。
• ping mydomain.com解析为某个公共地址，而不是Controller.

所以问题出在DNS上，似乎。

由于网络由路由器（DHCP 和 DNS）管理，我假设我需要将路由器配置为Controller用作 DNS 服务器。我想要一些有关如何正确执行此操作的指导。

路由器是 Arris TG1682G。这是当前 LAN 配置页面的样子：

这 ”？” 图标提供了一些可能有用的工具提示：

• DNS覆盖：
  

• DNS中继：
  

我需要更改哪些设置，以便路由器在尝试外部解析之前先尝试mydomain.com使用 内部解析？Controller