Ich habe einen DHCP-Server so konfiguriert, dass DNS-Einträge immer dynamisch aktualisiert werden. Der DNS-Server ist so konfiguriert, dass er sowohl sichere als auch unsichere Updates zulässt (ich weiß, dass er nicht sicher ist, aber dies ist ein rein internes Netzwerk ohne Internetverbindung). Beide sind Windows Server 2016.
Einzelne Domäne, einzelne Gesamtstruktur.
Es gibt eine Zweigstelle, die ein anderes Subnetz hat (immer noch dieselbe Domäne), mit einem VPN zwischen Haupt- und Zweigstelle. Ein weiterer DC in der Zweigstelle, der DHCP (nur für die Zweigstelle) und DNS (für die gesamte Domäne) ausführt. Die Replikation zwischen den DCs in Haupt- und Zweigstelle funktioniert einwandfrei.
Für die Subnetting gibt es keine besonderen Einstellungen. Für beide Subnetze im DNS gibt es Forward- und Reverse-Lookupzonen.
Clients in der Hauptniederlassung erhalten IP-Adressen vom DC in der Hauptniederlassung und DNS aktualisiert ihre A-Einträge und PTR-Einträge ordnungsgemäß.
In der Zweigstelle erhalten die Clients zwar IP-Adressen und es werden ordnungsgemäße A-Einträge erstellt, für DHCP-Clients werden jedoch nie PTR-Einträge erstellt. (Nur für statische Einträge.)
Clients senden die Option 81 im DHCP-Anforderungspaket mit FQDN und allen Flags auf Null gesetzt.
Beachten Sie, dass ich sowohl sichere als auch unsichere Updates zulasse. Es sollte also nicht an fehlenden Anmeldeinformationen liegen. Ich habe keine Anmeldeinformationen für DNS-Updates konfiguriert, sehe aber nicht, wie das helfen würde, da unsichere Updates zugelassen sind.
Auf Clients ist die erweiterte TCP-Option „Adressen dieser Verbindung bei DNS registrieren“ aktiviert (Windows-Standard).
Ich habe Vorschläge gesehen, jeden Client mit der Option „DNS-Suffix dieser Verbindung bei DNS-Registrierung verwenden“ zu konfigurieren. Ich habe das noch nicht ausprobiert, sehe aber nicht, warum das irgendetwas helfen sollte. (Es sendet den FQDN und es sollte der Server sein, der die DNS-Registrierung durchführt.) Und ich möchte vermeiden, alle Clients manuell konfigurieren zu müssen.
Weiß jemand, ob dies damit zusammenhängt, dass es in derselben Domäne ein zweites Subnetz gibt?
Und wie gehe ich vor, um es richtig zu konfigurieren, damit DNS/DHCP versteht, was zu tun ist?
Antwort1
Das Problem wurde durch die Aktualisierung der Anmeldeinformationen im DHCP-Server für die Zweigstelle gelöst – es hing nicht wirklich mit mehreren Subnetzen zusammen.
(Klicken Sie mit der rechten Maustaste auf IPv4 unter dem Domänennamen im DCHP-Server, wählen Sie „Erweitert“ und „Anmeldeinformationen“ und geben Sie neue Benutzer-/Passwortinformationen ein. Dies sollte ein nicht privilegiertes Benutzerkonto sein, das nur für diesen Zweck bestimmt ist, dessen Passwort nie abläuft und das der Benutzer nicht ändern kann. Ich sage nicht privilegiert, es muss jedoch Mitglied der DnsAdmin-Gruppe sein.)
Auf diesem DHCP-Server in der Zweigstelle (und nur auf diesem) waren die Anmeldeinformationen auf ein tatsächliches Benutzerkonto eingestellt, dessen Kennwort vor Monaten geändert wurde.
Da unsichere Updates zulässig waren, spielte die fehlgeschlagene Authentifizierung normalerweise keine Rolle.
Warum es jedoch wichtig war, liegt meiner Meinung nach daran, dass mein Domänenname mehrstufig ist (internal.example.com) und AD eine Forward-Lookup-Zone sowohl für „internal.example.com“ als auch für „example.com“ erstellt hat. Und in der Zone „example.com“ waren dynamische Updates auf „Nur sicher“ eingestellt, während für „inernal.example.com“ „Unsicher und sicher“ eingestellt war.
Die Tatsache, dass eine übergeordnete Domäne nicht aktualisiert werden konnte, schien irgendwie dazu zu führen, dass das PTR-Update fehlschlug.
(Beachten Sie, dass das Hinzufügen der DHCP-Server zur DnsUpdateProxy-Gruppe das Problem in diesem Fall NICHT gelöst hat.)