Windows Server 2003 Active Directory ドメインを Server 2008 にアップグレードし、クライアント PC を Windows XP から Windows 7 にアップグレードした後、動的 DNS 更新の動作に一貫性がないことがわかりました。
2 つのドメイン コントローラにも DHCP と DNS の役割があります。各 DHCP サーバーには、「DNS 動的更新登録資格情報」設定があり、「DnsUpdateProxy」グループのメンバーであるユーザー アカウントが入力されています。また、(賛否両論ありますが) サーバー自体を「DnsUpdateProxy」グループに追加しました。
DHCP サーバーは、次の設定にチェックマークを付けて構成されます。
「以下の設定に従って DNS 動的更新を有効にする」 「DNS A レコードと PTR レコードを常に動的に更新する」 「リースが削除されたときに A レコードと PTR レコードを破棄する」
一部の PC は正常に動作しているようです。これらの PC は DHCP アドレスを要求し、DHCP サーバーがアドレスを渡して DNS を更新します。動的更新によって作成された「A」レコードのセキュリティを確認すると、このレコードは DNS 動的更新登録用に作成されたアカウントによって所有され、DHCP サーバーに入力されています。
一方、一部の PC は、独自の「A」レコードを DNS サーバーに直接登録しているようです。その結果、「A」レコードは「システム」または PC の AD コンピューター アカウントによって所有されることになります。このような状況が発生すると、DHCP サーバーのセキュリティ設定により、「A」レコードは DHCP サーバーによって書き込み不可能になります。
これを回避する唯一の方法は、DHCP サーバーが動的に更新するために使用するアカウントにゾーンの完全な制御権を与えることです。これにより、DHCP サーバーが作成していないものも含め、すべての「A」レコードを削除/変更できるようになります。
より良い方法は、PC が DHCP サーバーではなく「A」レコードを登録することがある理由を解明することです。
以前にこれに遭遇したことがある方がいらっしゃいましたら、アドバイスをいただければ幸いです。
答え1
あなたがやりたいことは、すべてのDHCPクライアントに、ADに独自のDNSレコードを登録しないように指示することだと思います。動的更新GPO は、この動作をコンピュータごとに制御します。無効にすると、接続ごとの「この接続のアドレスを DNS に登録する」オプションは効果がなく、動的な登録は行われず、DHCP サーバーが干渉することなく処理することになります。この GPO は、DHCP クライアントとなるコンピュータにのみ設定する必要があります。
役に立つと思われたら、Windows DNSクライアントに適用されるGPOのリファレンスはこちらです。
この特定の GPO は、DNS 設定のコンピューター スコープ、管理用テンプレートとネットワークの下にあります。動的更新ポリシーを無効に設定し、GPO が適用されるまで待つと、動作が停止するはずです。
答え2
DNS レコードに関して注意すべき点は、毎回再作成されるわけではないということです。クライアントが登録解除されると、レコードは dnsTombstoned としてマークされます。レコードは引き続き存在しますが、DNS マネージャーには表示されません。クライアントが更新されると、以前の DNS レコードが再活性化されます。問題のあるレコードが見つかった場合は、ADSIEDIT を使用して DNS レコード オブジェクトが削除され (複数の DC/DNS サーバーがある場合はレプリケートされます)、クライアントが既存のレコードを再活性化するのではなく、新しいレコードを更新して作成するときに症状が発生するかどうかを確認する必要があります。所有者は、廃棄されたレコードの既存の所有者であった可能性があります。
ADSIEDIT では、構成名前付けコンテキストを開いてパーティションを選択し、右側のペインで DomainDNSZones パーティションを右クリックして名前付けコンテキストへの新しい接続を選択し、MicrosoftDNS までドリルダウンしてゾーンのレコードを表示できます。