DNS レコードを常に動的に更新するように構成された DHCP サーバーがあります。DNS サーバーは、安全な更新と安全でない更新の両方を許可するように構成されています (安全ではないことは承知していますが、これは内部専用のネットワークであり、インターネットに接続されていません)。どちらも Windows Server 2016 です。
単一ドメイン、単一フォレスト。
異なるサブネット (同じドメイン) を持つブランチ オフィスがあり、メイン オフィスとブランチ オフィスの間に VPN があります。ブランチ オフィスには別の DC があり、DHCP (ブランチ オフィスのみ) と DNS (ドメイン全体) を実行しています。メイン オフィスとブランチ オフィスの DC 間のレプリケーションは正常に機能しています。
サブネット化に関して特別な設定はありません。DNS には両方のサブネットに対して前方参照ゾーンと逆参照ゾーンが存在します。
本社のクライアントは本社の DC から IP アドレスを取得し、DNS によって A レコードと PTR レコードが適切に更新されます。
ただし、ブランチ オフィスでは、クライアントは IP アドレスを取得し、適切な A レコードが作成されますが、DHCP クライアントに対して PTR レコードは作成されません (静的エントリの場合のみ)。
クライアントは、すべてのフラグをゼロに設定し、FQDN を含む DHCP 要求パケットでオプション 81 を送信します。
安全な更新と安全でない更新の両方を許可しているので、資格情報の不足が原因ではないはずです。DNS 更新の資格情報を構成していませんが、安全でない更新が許可されているため、これがどのように役立つかわかりません。
クライアントでは、詳細 TCP オプションの「この接続のアドレスを DNS に登録する」がオンになっています (Windows のデフォルト)。
「DNS 登録でこの接続の DNS サフィックスを使用する」オプションを使用して各クライアントを構成するという提案を見たことがあります。まだ試していませんが、これがなぜ役立つのかわかりません。(FQDN は送信され、DNS 登録を行うのはサーバーである必要があります。) また、すべてのクライアントを手動で構成する必要がないようにしたいと思います。
同じドメインに 2 番目のサブネットがあるという事実にこれが関係しているかどうか知っている人はいますか?
DNS / DHCP が何をすべきかを理解できるように、正しく構成するにはどうすればよいでしょうか?
答え1
ブランチ オフィスの DHCP サーバーの資格情報を更新することで解決しました。実際には複数のサブネットに関連していませんでした。
(DCHP サーバーのドメイン名の下の IPv4 を右クリックし、[詳細設定] と [資格情報] を選択して、新しいユーザー/パスワード情報を入力します。これは、この目的専用の非特権ユーザー アカウントである必要があります。パスワードは期限切れになることはなく、ユーザーはパスワードを変更できません。非特権とは言っても、DnsAdmin グループのメンバーである必要があります。)
ブランチ オフィスのこの DHCP サーバー (このサーバーのみ) では、数か月前にパスワードが変更された実際のユーザー アカウントに資格情報が設定されていました。
安全でない更新が許可されていたため、認証の失敗は通常は問題になりませんでした。
しかし、なぜそれが問題になったかというと、私のドメイン名がマルチレベル (internal.example.com) であり、AD が「internal.example.com」と「example.com」の両方に対して前方参照ゾーンを作成したからだと思います。また、「example.com」ゾーンでは動的更新が「セキュリティ保護のみ」に設定されていましたが、「inernal.example.com」では「安全でないおよび安全」に設定されていました。
そのため、何らかの理由で親ドメインを更新できなかったため、PTR 更新が失敗したようです。
(この場合、DHCP サーバーを DnsUpdateProxy グループに追加しても問題は解決されないことに注意してください。)