桌面云虚拟机通过内部DNS做转发出现桌面虚拟机不能上网

发布时间:  2017-03-19 浏览次数:  166 下载次数:  0
问题描述

某学校有4个电教室,每个教室有都通过内部的DHCP服务器分配了不同网段的IP地址,分别为:192.168.4.0/24、192.168.5.0/24、192.168.6.0/24、192.168.7.0/24,其中FA基础构架虚拟机所属网段为:192.168.4.0/24,地址段为192.168.4.1-192.168.4.30,192.168.4.30以后为其中一个教室的桌面虚拟网段。

对于4个教室DHCP的DNS地址都为内部的主备DNS地址192.168.4.2、192.168.4.3,桌面虚拟机上公网是通过内部DNS做了DNS转发进行上网。

问题:4个教室桌面虚拟机通过内部DNS做转发一直都可以上公网,系统上线2个月后,客户反应桌面虚拟机突然都不能上公网,但桌面虚拟机可以平通外部DNS服务器地址(像电信的DNS:114.114.114.114),手动设置虚拟机的DNS为外部DNS地址可以进行上公网。

 

部署版本信息: FusionAccess V100R006C00 FusionCompute V100R005C10SPC703 FusionAccess Client V100R006C00(CT3100硬件瘦终端)。

告警信息

桌面虚拟机突然都不能上公网,通过内部DNS无法解析公网域名。

处理过程

1、通过客户的反应已得出初步结论,即内部DNS转发出了问题,可能是内部DNS无法将桌面虚拟机的DNS请求转发给外部DNS进行解析。

2、在内部DNS服务器上直接测试到外部DNS地址114.114.114.114是否能通,通过ping 114.114.114.114 ,发现无法平通外部dns地址。

在内部DNS转发器上查看,也无法和外部DNS地址互通,如下图:

3、咨询客户网络上是否进行过调整,客户回复基础构架虚拟机网段192.168.4.1-192.168.4.30未开放上公网(因为之前也向客户提出为安全起见,基础构架虚拟机不希望开放出去)。

4、内部DNS所在网段既然不能出公网(为用户禁止了FA基础构架虚拟机网段192.168.4.1-192.168.4.30不能出公网),而桌面虚拟机又有上公网需求,只有在内部DHCP服务器上直接给桌面虚拟机新增一个外部DNS地址分配(分配114.114.114.114)。

内部DHCP服务器上增加一个外部DNS地址,如下图

5、测试其中一台桌面虚拟机,将虚拟机通过VNC网卡禁用再启用(或者通过重启虚拟机)发现虚拟机能够多获取除内部DNS地址,也获取到了一个外部的DNS地址(114.114.114.114)。

根因

内部DNS服务器通过转发到外部DNS进行域名解析,与外部DNS不通,导致不能转发。

其根本原因为客户禁止了DNS基础构架虚拟所在网段192.168.4.1-192.168.4.30不能上公网环境。

解决方案

1、客户紧张FA所在地址段192.168.4.1-192.168.4.30不能出公网。--维持不变,能提高安全性。

2、在内部DHCP服务器上直接给桌面虚拟机新增一个外部DNS地址进行分配。

建议与总结

1、为安全方面考虑,对于桌面云内部基础构架虚拟机不建议上公网,同时需要更新内部windows内部基础构架虚拟机的补丁和安全加固,防止受攻击或者病毒。

2、内部基础构架虚拟机可以做一个快照,万一奔溃可以进行快照恢复,或者通过内部的备份进行恢复。

3、在内部DNS服务器不能上公网的情况下,可以不做外部DNS地址的转发,可以通过内部的DHCP服务器直接给桌面虚拟机多分配一个或者几个外部DNS地址(但内部DNS服务器地址也必须分配否则会出现找不到内部域的情况)。

END