グループポリシーで動的 DNS 更新を無効にする

グループポリシーで動的 DNS 更新を無効にする

私は、自分では制御できない理由により、DNS 名前空間が不整合なシステムを管理しています。これは好ましくありませんが、これが現状であり、これを変更する方法はありません。その理由は、サーバーが既存の DNS インフラストラクチャと共存する必要があるためです。

Windowsドメインは、ADというNETBIOS名を持つad.example.comのような名前が付けられています。ただし、すべてのDNSサーバーは、ネットワーク内の場所に応じて、プライマリDNSサフィックスが「example.com」または「sub.example.com」に設定されています。ドメインのmsDS-AllowedDNSSuffixes属性を、Technet で Disjoint Namespace の記事を作成する

ad.example.com ドメインの DNS は環境内の 2 つのドメイン コントローラーで実行され、example.com および sub.example.com の DNS は Microsoft 以外の他の DNS サーバーで実行されます。

この環境では、DNS は動的 DNS の登録と更新に依存するのではなく、手動で管理されます。


環境は正常に動作しますが、イベント ログに次のような煩わしい警告エラーが表示されます。

The system failed to register host (A or AAAA) resource records (RRs) for
network adapter with settings:

Adapter Name : <censored>
Host Name : <censored>
Primary Domain Suffix : sub.example.com
DNS server list :
<censored> (These are the domain controllers for ad.example.com)
Sent update to server : <?>
IP Address(es) :
<censored> (This is the IP address of the host in question)

The reason the system could not register these RRs was because of a security related
problem. The cause of this could be (a) your computer does not have permissions
to register and update the specific DNS domain name set for this adapter, or 
(b) there might have been a problem negotiating valid credentials with the DNS
server during the processing of the update request.

You can manually retry DNS registration of the network adapter and its settings
by typing 'ipconfig /registerdns' at the command prompt. If problems still persist,
contact your DNS server or network systems administrator. See event details for
specific error code information.

エラーはシステム ログに表示され、ソースは「DNS クライアント イベント」、警告レベルはイベント ID 8015 です。

パケット スニッフィングを実行すると、Windows ボックスが sub.example.com の権威 DNS サーバーに対して動的 DNS 更新を実行しているように見えますが、このサーバーは動的更新をサポートしていません (また、動的更新を有効にすることも望んでいません)。


したがって、グループ ポリシーを使用して動的 DNS 更新を無効にするというタスクを設定しました。

金曜日に、グループ ポリシーを作成し、以下のスクリーンショットのようにドメインの最上部にリンクしました。

ポリシーを表示するグループポリシー管理エディター

ポリシー「コンピューターの構成/ポリシー/管理用テンプレート/ネットワーク/DNS クライアント/動的更新」が「無効」に設定されています。

ただし、数日経過しても (グループ ポリシーが複製され、サーバーに適用されるには十分な時間)、これらのイベントはログに引き続き表示されます。

GPRESULT を使用して、問題のサーバーにポリシーが実際に適用されていることを確認しました。

の出力はgpresult /scope Computer /v以下のとおりです (匿名化のため、無関係なデータは一部削除されています)。

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
© 2013 Microsoft Corporation. All rights reserved.

Created on 2015-10-05 at 15:06:54



RSOP data for AD\ad79632 on BESTLA : Logging Mode
--------------------------------------------------

OS Configuration:            Member Server
OS Version:                  6.3.9600
Site Name:                   Example
Roaming Profile:             N/A
Local Profile:               C:\Users\ad79632
Connected over a slow link?: No


COMPUTER SETTINGS
------------------
    CN=BESTLA,OU=Servers,OU=Computers,OU=SHEM,DC=ad,DC=example,DC=com
    Last time Group Policy was applied: 2015-10-05 at 14:09:58
    Group Policy was applied from:      dc02.example.com
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        AD
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
<some GPOs omitted for security reasons>
        Disable Dynamic DNS Updates

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Users
        RDS Endpoint Servers
        RDS Management Servers
        RDS Remote Access Servers
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        BESTLA$
        Day-active Computers
        Domain Computers
        Authentication authority asserted identity
        System Mandatory Level

    Resultant Set Of Policies for Computer
    ---------------------------------------

        Software Installations
        ----------------------
            N/A

        Startup Scripts
        ---------------
            N/A

        Shutdown Scripts
        ----------------
            N/A

        Account Policies
        ----------------
<some GPOs omitted for security reasons>

        Audit Policy
        ------------
            N/A

        User Rights
        -----------
            N/A

        Security Options
        ----------------
<some GPOs omitted for security reasons>

        Event Log Settings
        ------------------
            N/A

        Restricted Groups
        -----------------
            N/A

        System Services
        ---------------
            N/A

        Registry Settings
        -----------------
            N/A

        File System Settings
        --------------------
            N/A

        Public Key Policies
        -------------------
            N/A

        Administrative Templates
        ------------------------
<some GPOs omitted for security reasons>
            GPO: Disable Dynamic DNS Updates
                Folder Id: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\RegistrationEnabled
                Value:       0, 0, 0, 0
                State:       Enabled
<some GPOs omitted for security reasons>

問題のレジストリ キーは、次のスクリーンショットに示すように実際に更新されています。

レジストリキーを表示するregeditのスクリーンショット

それで、何が足りないのでしょうか?

答え1

@Brian がコメントで示唆したように、これらのメッセージが表示されないようにするには再起動が必要だったことを除いて、すべて正しく実行していたようです。

これは重大な問題ではないので、次のパッチ ウィンドウまで待つことにします。パッチ ウィンドウでは、いずれにしてもサーバーが再起動されます。その後、このメッセージはすべてのサーバーから消えるはずです。

関連情報