VPNを介したDNS解決がWindows10で機能しない

VPN接続用に構成されたDNSサーバーとサフィックスは、Windows 10で使用され、強制トンネリングでDNSを使用して名前を解決します。 モード（「リモートネットワークでデフォルトゲートウェイを使用する ”オプションが有効）VPN接続がアクティブな場合。この場合、ローカルネットワークでDNS名を解決したり、内部LANを使用してインターネットにアクセスしたりすることはできません。

同時に、LAN上の任意のリソースにpingを実行できます（ゲートウェイ、隣接するコンピューター、またはプリンターのIPアドレスにpingを実行してみてください）。これらはIPアドレスでのみ使用でき、ホスト名では使用できません。実際のところ、Windows 10は、VPN接続設定で指定されたDNSサーバーを介してローカルネットワーク内のホスト名を解決しようとしています。

ローカル（LAN）インターフェースでIPv6プロトコルを無効にすることに関するいくつかの推奨事項を見つけました。これは、強制トンネリングモードを使用する場合に役立ちます。

スプリットトンネリングを使用している場合 （「リモートネットワークでデフォルトゲートウェイを使用する 」オプションがオフになっている場合）VPN接続の場合、ローカルネットワークからインターネットにアクセスできますが、リモートVPNネットワークでDNSアドレスを解決することはできません（IPv6を無効にしてもここでは役に立ちません）。

Windowsは、優先度が最も高い（インターフェイスメトリックの値が低い）ネットワークインターフェイスからDNSクエリを送信することを理解する必要があります。たとえば、VPN接続はスプリットトンネリングモードで機能します（LANおよび企業リソースからVPN経由でインターネットにアクセスする必要があります）。

PowerShellからすべてのネットワークインターフェイスメトリックの値を確認します。

Get-NetIPInterface | Sort-Object Interfacemetric

上のスクリーンショットは、ローカルイーサネット接続のメトリック（25）がVPNインターフェイス（100）よりも低いことを示しています。したがって、DNSトラフィックは、メトリック値が低いインターフェイスを通過します。これは、DNS要求がVPN接続用のDNSサーバーではなくローカルDNSサーバーに送信されることを意味します。この構成では、接続された外部VPNネットワークで名前を解決することはできません。

さらに、Windows8.1およびWindows10用のDNSクライアントの新機能についてもここで説明する必要があります。 スマートマルチホーム名前解決 （SMHNR）は、DNS要求への応答を高速化するために、これらのOSバージョンに追加されました。デフォルトでは、SMHNRはシステムに認識されているすべてのDNSサーバーに同時にDNS要求を送信し、最初に受信した応答を使用します（LLMNRおよびNetBTクエリも送信されます）。外部DNSサーバー（VPN接続用に指定）がDNSトラフィック（DNS要求のリーク）を潜在的に見る可能性があるため、安全ではありません。 Windows 10でSMHNRを無効にするには、GPOを使用します。[コンピューターの構成]->[管理用テンプレート]->[ネットワーク]->[DNSクライアント]->スマートマルチホーム名前解決をオフにする =有効。

または、次のコマンドを使用してSMHNRを無効にすることができます（Windows 8.1の場合）：

Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name DisableSmartNameResolution -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" -Name DisableParallelAandAAAA -Value 1 -Type DWord

Windows 10 Creators Update（1709）以降では、DNS要求はすべての既知のDNSサーバーに1つずつ（並列ではなく）送信されます。メトリックを低くすると、特定のDNSの優先度を上げることができます。

したがって、インターフェースメトリックを変更すると、名前解決が最も優先される接続（LANまたはVPN）を介してDNS要求を送信できます。

したがって、インターフェイスメトリックの値が低いほど、接続の優先度は高くなります。 Windowsは、速度とタイプに応じてIPv4インターフェイスのメトリックを自動的に割り当てます。たとえば、速度が200 Mbit / sを超えるLAN接続のメトリック値は10であり、速度が50〜80 Mbit / sのWi-Fi接続の値は50です（表https：/を参照）。 /support.microsoft.com/en-us/help/299540/an-explanation-of-the-automatic-metric-feature-for-ipv4-routes）

インターフェイスの指標は、Windows GUI、PowerShell、または netshを使用して変更できます。 コマンド。

たとえば、DNS要求をVPN接続を介して送信する必要があります。 LAN接続のメトリックを増やして、それらの値が100を超えるようにする必要があります（私の例では）。

[コントロールパネル]->[ネットワークとインターネット]->[ネットワーク接続]に移動します 、イーサネット接続のプロパティを開き、TCP / IPv4プロパティを選択して、詳細なTCP/IP設定に移動します。 タブ。 自動メトリックのチェックを外します オプションを選択し、インターフェースメトリックを 120に変更します 。

次のPowerShellコマンドを使用して同じことを行うことができます（Get-NetIPInterfaceコマンドレットで取得できるLANインターフェイスのインデックスを使用します）：

Set-NetIPInterface -InterfaceIndex 11 -InterfaceMetric 120

またはnetshを使用する （LAN接続の名前を指定してください）：

netsh int ip set interface interface="Ethernet0" metric=120

同様に、VPN接続のプロパティのメトリック値を減らすことができます。

また、モードをスプリットトンネリングに変更し、PowerShellを使用した接続にDNSサフィックスを指定することで、VPN接続の設定を変更できます。

Get-VpnConnection
Set-VpnConnection -Name "VPN_work" -SplitTunneling $True
Set-VpnConnection -Name "VPN_work" -DnsSuffix yourdomainname.com