Nachdem ich eine Active Directory-Domäne von Windows Server 2003 auf Server 2008 aktualisiert und Client-PCs von Windows XP auf Windows 7 aktualisiert habe, stelle ich ein inkonsistentes Verhalten bei dynamischen DNS-Updates fest.
Zwei Domänencontroller haben auch eine DHCP- und eine DNS-Rolle. Jeder DHCP-Server hat die Einstellung „Anmeldeinformationen für dynamische DNS-Updates“ mit einem Benutzerkonto, das Mitglied der Gruppe „DnsUpdateProxy“ ist, und (obwohl ich Argumente dafür und dagegen gesehen habe) habe ich die Server selbst zur Gruppe „DnsUpdateProxy“ hinzugefügt.
Die DHCP-Server sind mit den folgenden aktivierten Einstellungen konfiguriert:
„DNS-Dynamische Updates gemäß den folgenden Einstellungen aktivieren“ „DNS-A- und PTR-Einträge immer dynamisch aktualisieren“ „A- und PTR-Einträge beim Löschen einer Lease verwerfen“
Einige PCs scheinen einwandfrei zu funktionieren. Sie fordern eine DHCP-Adresse an, und der DHCP-Server gibt ihnen eine und aktualisiert DNS. Wenn ich die Sicherheit des durch das dynamische Update erstellten „A“-Eintrags überprüfe, ist der Eintrag Eigentum des Kontos, das für die Registrierung des dynamischen DNS-Updates erstellt und im DHCP-Server eingetragen wurde.
Manche PCs hingegen scheinen ihre eigenen „A“-Einträge direkt beim DNS-Server zu registrieren. Dies führt dazu, dass ein „A“-Eintrag entweder dem „System“ oder dem AD-Computerkonto des PCs gehört. Wenn dies geschieht, kann der „A“-Eintrag aufgrund seiner Sicherheitseinstellungen vom DHCP-Server nicht mehr geschrieben werden.
Die einzige Möglichkeit, dies zu umgehen, besteht meiner Meinung nach darin, dem Konto, das vom DHCP-Server zur dynamischen Aktualisierung des DHCP-Servers verwendet wird, die volle Kontrolle über die Zone zu geben. Dadurch könnte er dann alle A-Einträge löschen/ändern, auch die, die er nicht erstellt hat.
Besser wäre es, herauszufinden, warum PCs manchmal „A“-Einträge statt des DHCP-Servers registrieren.
Ich wäre für einen Rat sehr dankbar, falls das schon einmal jemandem passiert ist.
Antwort1
Ich glaube, Sie möchten einfach allen Ihren DHCP-Clients sagen, dass sie ihre eigenen DNS-Einträge nicht in AD registrieren sollen.dynamisches UpdateGPO steuert dieses Verhalten auf Computerbasis. Wenn es deaktiviert ist, hat die Option „Adresse dieser Verbindung im DNS registrieren“ pro Verbindung keine Auswirkung und es erfolgt keine dynamische Registrierung, sodass der DHCP-Server sich ohne Eingriff darum kümmern kann. Sie sollten dieses GPO nur auf Computern festlegen, die DHCP-Clients sein sollen.
Wenn Sie es nützlich finden,Hier finden Sie eine Referenz für GPOs, die für den Windows DNS-Client gelten.
Sie finden dieses spezielle GPO auf Computerebene unter „Administrative Vorlagen“ und „Netzwerk“ in den DNS-Einstellungen. Deaktivieren Sie die dynamische Updaterichtlinie, warten Sie, bis das GPO angewendet wurde, und das Verhalten sollte aufhören.
Antwort2
Bei DNS-Einträgen muss man sich bewusst sein, dass sie nicht jedes Mal neu erstellt werden. Wenn sich ein Client abmeldet, wird der Eintrag als dnsTombstoned markiert. Der Eintrag ist noch vorhanden, aber im DNS-Manager nicht sichtbar. Wenn der Client ihn erneuert, wird der vorherige DNS-Eintrag neu aktiviert. Wenn Sie einen problematischen Eintrag finden, möchten Sie möglicherweise feststellen, ob das Symptom auftritt, wenn das DNS-Eintragsobjekt mit ADSIEDIT entfernt wird (und repliziert wird, wenn Sie mehrere DCs/DNS-Server haben) und der Client einen neuen Eintrag erneuert und erstellt, anstatt den vorhandenen Eintrag neu zu aktivieren. Es ist möglich, dass der Besitzer nur der vorhandene Besitzer des veralteten Eintrags war.
In ADSIEDIT können Sie den Konfigurationsbenennungskontext öffnen, Partitionen auswählen, im rechten Bereich mit der rechten Maustaste auf die Partition „DomainDNSZones“ klicken und „Neue Verbindung mit Benennungskontext“ auswählen. Anschließend können Sie zu MicrosoftDNS navigieren, um die Datensätze für die Zone anzuzeigen.