AD 域控支持 windows 加域的客户端自动向域控注册自己的 dns A 记录, 大概原理在这里 https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc959284(v=technet.10)?redirectedfrom=MSDN .
本来是个挺好的机制, 可以方便通过计算机名远程控制, 不用去设置静态 ip.
在某台电脑上安装 clash 并开启 tun 模式, 以及 windows 自带的虚拟网桥后, 可能是网卡初始化顺序的原因, 每次设备开机, 都会把 clash tun 网卡的 fake ip 地址 198.18.0.2 注册给域控, 导致远程连接提示 NLA 鉴权失败(估计是因为 fake ip 不对, 跟域控通信不上).
但是只要现场登录一次, 再远程就没问题.尝试搜索过一些禁止 tun 网卡注册 dns 更新的方法, 都提到了加个注册表项 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces{44393efc-29c4-25e4-b684-f168b398a2b4}\DisableDynamicUpdate
问题是这个注册表项每次在 tun 网卡创建/删除时都会整个被删除, 没办法一劳永逸. 域控上也没找到禁止某些 ip 网段注册的方法.
也想过搞个 clash 延迟启动估计就没事了, 就是比较麻烦,本来就是软件自带的随系统启动设置, 现在还要改为计划任务.
有 2 个办法:
- 禁止远程桌面 NLA 鉴权, 感觉安全性会降低.
- 改为静态 ip, 域控上也设置成静态的 dns A 记录.
咨询下搞域控的大佬们, 有没有更好的办法? 比如在域控上限制主机能注册的 A 记录 ip 地址范围? 因为 fake ip 地址范围特征还是比较明显的.
 |
1
yyzh 2 天前 via Android
|
Select Language