Después de haber actualizado un dominio de Active Directory de Windows Server 2003 a Server 2008 y haber actualizado las PC cliente de Windows XP a Windows 7, veo un comportamiento de actualización de DNS dinámico inconsistente.
Dos controladores de dominio también tienen funciones de DHCP y DNS. Cada servidor DHCP tiene la configuración 'Credenciales de registro de actualizaciones dinámicas de DNS' completada con una cuenta de usuario que es miembro del grupo 'DnsUpdateProxy' y (aunque he visto argumentos a favor y en contra) he agregado los servidores mismos a la Grupo 'DnsUpdateProxy'.
Los servidores DHCP están configurados con las siguientes configuraciones marcadas:
'Habilite las actualizaciones dinámicas de DNS según la configuración siguiente' 'Actualice siempre dinámicamente los registros DNS A y PTR' 'Descarte los registros A y PTR cuando se elimine una concesión'
Algunas PC parecen funcionar bien. Solicitan una dirección DHCP y el servidor DHCP les entrega una y actualiza el DNS. Si verifico la seguridad del registro 'A' creado mediante la actualización dinámica, el registro es propiedad de la cuenta creada para el registro de actualización dinámica de DNS y se completa en el servidor DHCP.
Por otro lado, algunas PC parecen registrar sus propios registros 'A' directamente con el servidor DNS. Esto da como resultado un registro 'A' propiedad del 'sistema' o de la cuenta de computadora AD de la PC. Cuando esto sucede, el servidor DHCP no puede escribir el registro 'A' debido a su configuración de seguridad.
La única forma en que puedo pensar en esto es darle control total de la zona a la cuenta utilizada por el servidor DHCP para actualizar dinámicamente el servidor DHCP. Esto le permitiría eliminar/modificar cualquier registro 'A', incluso aquellos que no haya creado.
Una mejor manera sería descubrir por qué las PC a veces registran registros 'A' en lugar del servidor DHCP.
Realmente agradecería algún consejo si alguien se ha encontrado con esto antes.
Respuesta1
Creo que lo que quiere hacer es simplemente decirle a todos sus clientes DHCP que no registren sus propios registros DNS en AD. Elactualización dinámicaGPO controla este comportamiento por computadora; cuando está deshabilitado, la opción por conexión "registrar la dirección de esta conexión en DNS" no tiene ningún efecto y el registro dinámico no ocurre, dejando que el servidor DHCP se encargue de ello sin interferencias. Debe configurar este GPO sólo en computadoras que deberían ser clientes DHCP.
Si lo encuentras útil,aquí hay una referencia para los GPO que se aplican al cliente DNS de Windows.
Encontrará este GPO específico en el ámbito de la computadora, en plantillas administrativas y red, en la configuración de DNS. Configure la política de actualización dinámica como deshabilitada, espere a que se aplique el GPO y el comportamiento debería detenerse.
Respuesta2
Algo a tener en cuenta con los registros DNS es que no se recrean cada vez. Cuando un cliente se da de baja, el registro se marca como dnsTombstoned. El registro todavía existe, pero no es visible en el Administrador de DNS. Cuando el cliente se renueva, el registro DNS anterior se vuelve a animar. Si encuentra un registro problemático, es posible que desee determinar si el síntoma se produce cuando el objeto de registro DNS se elimina mediante ADSIEDIT (y se replica si tiene varios servidores DC/DNS) y el cliente renueva y crea un nuevo registro, en lugar de volver a animar el registro existente. Es posible que el propietario fuera simplemente el propietario existente en el registro desechado.
En ADSIEDIT, puede abrir el Contexto de nomenclatura de configuración, seleccionar Particiones y, en el panel derecho, hacer clic derecho en la partición DomainDNSZones y seleccionar Nueva conexión al contexto de nomenclatura, luego profundizar en MicrosoftDNS para ver los registros de la zona.