DNS-Probleme bei VPN-Verbindungen beheben

Um in Windows zu steuern, welche DNS-Server es nach der Einwahl per VPN bevorzugt verwenden soll, kann man der VPN-Schnittstelle eine höhere Priorität und damit niedrigere Metrik zuweisen.

Das geht unproblematisch auf dem Client über die Einstellungen der Netzwerkadapter (ncpa.cpl).

Über das Kontextmenü der VPN-Netzwerkverbindung rufen Sie Eigenschaften auf. Klicken Sie danach doppelt auf Internetprotokoll, Version 4, so dass sich auch hier die Eigenschaften öffnen.

Durch einen Klick auf Erweitert können Sie bei Schnittstellenmetrik einen Wert eingeben. Er definiert die "Kosten" einer Verbindung. Je höher diese sind, also je größer der Wert an dieser Stelle ist, desto weiter hinten in der Reihenfolge landet eine Schnittstelle.

Soll die Namens­auflösung über das VPN-Netzwerk erfolgen, dann sollten die Kosten dafür so niedrig wie möglich sein.

Hier sollte mithin für die VPN-Schnittstelle nicht Automatische Metrik aktiviert sein. Vielmehr trägt man dafür einen möglichst geringen Wert ein, zum Beispiel 1 bis 5. Nach einer erneuten Einwahl sollte das Problem mit der Namens­auflösung im VPN-Netzwerk gelöst sein.

Viele VPN-Clients stellen diese Option bereits automatisch ein, aber längst nicht alle. Bei Automatische Metrik entscheidet Windows selbst, welche Einträge verwendet werden, wenn mehrere Netzwerk­verbindungen zum gleichen Ziel führen.

Änderungen an der Metrik sind normalerweise sofort wirksam, andernfalls beenden Sie die VPN-Verbindung und bauen diese erneut auf. Testen Sie danach die Namensauflösung und überprüfen Sie die Schnittstellen­metriken mit PowerShell und Befehlszeile.

Schnittstellenmetriken mit PowerShell steuern

Die Interface Metrics der verschiedenen Netzwerk­verbindungen lassen sich in PowerShell sortiert anzeigen, indem Sie folgenden Befehl verwenden:

Get-NetIPInterface | Sort-Object Interfacemetric

PowerShell zeigt für alle Schnittstellen die Metriken übersichtlicher und vor allem auf einmal an. Außerdem kommt es vor, dass die Metriken auf der grafischen Oberfläche nicht korrekt übernommen werden, so dass man sie auf diesem Weg überprüfen kann.

Die Metriken lassen sich alternativ mit dem Dienstprogramm netsh.exe anzeigen:

netsh int ip show interfaces

Die Schnittstellenmetrik ist in der Spalte Met zu sehen.

Metriken mit PowerShell anpassen

Die Schnittstellenmetrik eines Interface kann man mit dem folgenden Befehl ändern:

Set-NetIPInterface -InterfaceIndex <Wert bei ifIndex> `
-InterfaceMetric <Gewünschte Metrik>

Die Identifizierung des Netzwerkadapters erfolgt über den Parameter -InterfaceIndex, den man bei der Abfrage mit dem Cmdlet Get-NetIPInterface in der Spalte ifIndex erhält.

Anschließend können Sie festlegen, ob Sie einem Adapter mit dem Parameter -InterfaceMetric einen höheren Wert zuweisen und damit eine niedrigere Priorität, oder einen niedrigen Wert und damit eine höhere Priorität.

Smart Multi-Homed Name Resolution deaktivieren

Smart Multi-Homed Name Resolution (SMHNR) ist eine Funktion in Windows 10 und 11, die DNS-Anfragen an mehrere DNS-Server gleichzeitig sendet, um die Namensauflösung zu beschleunigen. Der Server, der zuerst antwortet, liefert die benötigte IP-Adresse.

Neuere Versionen von Windows 10 sowie Windows 11 verbessern dieses Feature und kontaktieren die DNS-Server nicht mehr gleichzeitig, sondern nacheinander, und zwar in der Reihenfolge, die durch die Schnittstellen­metriken vorgegeben ist.

SMHNR sollte daher keinen großen Einfluss mehr haben, wenn ein falscher DNS-Server zum Zug kommt. Es hat aber einen anderen, meist unerwünschten Nebeneffekt, indem es die Anfragen zur internen Namens­auflösung an externe DNS-Server schickt ("DNS Leakage"). Deren Betreiber können sich dadurch ein sehr genaues Bild davon machen, über welche IT-Ressourcen ein Unternehmen verfügt.

Daher empfiehlt es sich, auf Clients, die sich via VPN verbinden, SMHNR über Gruppenrichtlinien zu deaktivieren.

Die betreffende Einstellung heißt Multicastnamensauflösung deaktivieren ("Turn off smart multi-homed name resolution") und findet sich unter Computer Configuration => Administrative Templates => Network > DNS Client.

Aufgrund eines seit Jahren existierenden Übersetzungs­fehlers gibt es an dieser Stelle zwei Einträge mit der gleichen Bezeichnung. Die richtige Einstellung ist jene, deren Beschreibung so beginnt: "Legt fest, dass ein mehrfach vernetzter DNS-Client die Namensauflösung netzwerkübergreifend optimiert."

Zusammenfassung

Bei einem Split-Tunnel-VPN kommt es häufig zu Problemen bei der Namensauflösung, wenn Windows aufgrund der automatisch konfigurierten Interface-Metriken den falschen DNS-Server konsultiert. In diesem Fall kann man das VPN-Interface manuell priorisieren, so dass der interne DNS-Server zum Zug kommt.

Smart Multi-Homed Name Resolution führt eine DNS-Anfrage über alle Schnittstellen aus, was aber keinen Einfluss auf die korrekte Namens­auflösung haben dürfte. Allerdings legt es interne Ressourcen gegenüber externen DNS-Servern offen, so dass man dieses Feature über die entsprechende Gruppenrichtlinie deaktivieren sollte.