Tengo un servidor DHCP configurado para actualizar siempre dinámicamente los registros DNS. El servidor DNS está configurado para permitir actualizaciones seguras e inseguras (sé que no es seguro, pero esta es una red solo interna, sin conexión a Internet). Ambos son Windows Server 2016.
Dominio único, bosque único.
Hay una sucursal, que tiene una subred diferente (aún el mismo dominio), con una VPN entre la oficina principal y la sucursal. Otro DC en la sucursal, que ejecuta DHCP (solo para la sucursal) y DNS (para todo el dominio). La replicación entre los DC en las oficinas principales y sucursales funciona bien.
No hay nada especial configurado con respecto a la subred. Existen zonas de búsqueda directa e inversa para ambas subredes en DNS.
Los clientes en la oficina principal obtienen direcciones IP del DC en la oficina principal y DNS actualiza sus registros A y PTR correctamente.
Sin embargo, en la sucursal, aunque los clientes obtienen direcciones IP y se crean registros A adecuados, nunca se crean registros PTR para los clientes DHCP. (Solo para entradas estáticas).
Los clientes envían la opción 81 en el paquete de solicitud DHCP, con FQDN y todos los indicadores establecidos en cero.
Tenga en cuenta que permito actualizaciones tanto seguras como inseguras, por lo que no debería deberse a la falta de credenciales. No he configurado las credenciales para las actualizaciones de DNS, pero no veo cómo ayudaría esto, ya que se permiten actualizaciones inseguras.
En los clientes, la opción TCP avanzada "Registrar las direcciones de esta conexión con DNS" está marcada (valor predeterminado de Windows).
He visto sugerencias para configurar cada cliente con la opción "Usar el sufijo DNS de esta conexión en el registro DNS". No he probado esto todavía, pero no veo por qué debería ayudar en algo. (Envía el FQDN y debería ser el servidor el que realice el registro DNS). Y me gustaría evitar tener que configurar todos los clientes manualmente.
¿Alguien sabe si esto está relacionado con el hecho de que hay una segunda subred en el mismo dominio?
¿Y cómo haría para configurarlo correctamente para que DNS/DHCP entienda qué hacer?
Respuesta1
Lo solucioné actualizando las credenciales en el servidor DHCP de la sucursal; en realidad, no estaba relacionado con varias subredes.
(Haga clic con el botón derecho en IPv4 debajo del nombre de dominio en el servidor DCHP, seleccione Avanzado y Credenciales, ingrese nueva información de usuario/contraseña; esta debe ser una cuenta de usuario sin privilegios solo para este propósito, la contraseña nunca caduca y el usuario no puede cambiar la contraseña. . Digo sin privilegios; sin embargo, debe ser miembro del grupo DnsAdmin).
En este servidor DHCP en la sucursal (y solo en esta), las credenciales se configuraron en una cuenta de usuario real a la que se le cambió la contraseña hace meses.
Como se permitían actualizaciones no seguras, la autenticación fallida normalmente no importaba.
Sin embargo, creo que el motivo por el que sí importó fue que mi nombre de dominio es de varios niveles (internal.example.com) y AD creó una zona de búsqueda directa tanto para "internal.example.com" como para "example.com". Y en la zona "example.com", las Actualizaciones dinámicas se configuraron en "Solo seguro", mientras que "inernal.example.com" tenía "Inseguro y protegido".
Entonces, de alguna manera, el hecho de que un dominio principal no pudiera actualizarse pareció hacer que la actualización del PTR fallara.
(Tenga en cuenta que agregar los servidores DHCP al grupo DnsUpdateProxy NO resolvió el problema en este caso).