Windows Server 2003 Active Directory 도메인을 Server 2008로 업그레이드하고 클라이언트 PC를 Windows XP에서 Windows 7로 업그레이드한 후 일관되지 않은 동적 DNS 업데이트 동작이 나타납니다.
두 개의 도메인 컨트롤러에도 DHCP 및 DNS 역할이 있습니다. 각 DHCP 서버에는 'DnsUpdateProxy' 그룹의 구성원인 사용자 계정으로 채워진 'DNS 동적 업데이트 등록 자격 증명' 설정이 있으며 (찬반 주장도 보았지만) 서버 자체를 'DnsUpdateProxy' 그룹.
DHCP 서버는 다음 설정이 선택된 상태로 구성됩니다.
'아래 설정에 따라 DNS 동적 업데이트 활성화' 'DNS A 및 PTR 레코드를 항상 동적으로 업데이트' '임대가 삭제되면 A 및 PTR 레코드 삭제'
일부 PC에서는 제대로 작동하는 것 같습니다. 그들은 DHCP 주소를 요청하고, DHCP 서버는 그들에게 주소를 전달하고 DNS를 업데이트합니다. 동적 업데이트를 통해 생성된 'A' 레코드의 보안을 확인해 보면 해당 레코드는 DNS 동적 업데이트 등록을 위해 생성된 계정의 소유이며 DHCP 서버에 채워져 있습니다.
반면에 일부 PC는 자체 'A' 레코드를 DNS 서버에 직접 등록하는 것으로 보입니다. 이로 인해 '시스템' 또는 PC의 AD 컴퓨터 계정이 소유한 'A' 레코드가 생성됩니다. 이런 일이 발생하면 보안 설정으로 인해 DHCP 서버에서 'A' 레코드를 쓸 수 없게 됩니다.
이 문제를 해결할 수 있는 유일한 방법은 DHCP 서버를 동적으로 업데이트하기 위해 DHCP 서버에서 사용하는 계정에 영역에 대한 모든 권한을 부여하는 것입니다. 그러면 생성되지 않은 레코드를 포함하여 모든 'A' 레코드를 삭제/수정할 수 있습니다.
더 좋은 방법은 PC가 때때로 DHCP 서버 대신 'A' 레코드를 등록하는 이유를 알아내는 것입니다.
누군가가 이전에 이 문제를 접했다면 조언을 주시면 정말 감사하겠습니다.
답변1
나는 당신이 원하는 것은 단순히 모든 DHCP 클라이언트에게 자신의 DNS 레코드를 AD에 등록하지 말라고 지시하는 것이라고 믿습니다. 그만큼동적 업데이트GPO는 컴퓨터별로 이 동작을 제어합니다. 비활성화되면 연결별 "DNS에 이 연결 주소 등록" 옵션이 적용되지 않고 동적 등록이 발생하지 않으므로 DHCP 서버가 간섭 없이 이를 처리하게 됩니다. DHCP 클라이언트여야 하는 컴퓨터에만 이 GPO를 설정해야 합니다.
유용하다고 생각하시면,다음은 Windows DNS 클라이언트에 적용되는 GPO에 대한 참조입니다..
컴퓨터 범위, 관리 템플릿 및 네트워크, DNS 설정에서 이 특정 GPO를 찾을 수 있습니다. 동적 업데이트 정책을 비활성화로 설정하고 GPO가 적용될 때까지 기다리면 동작이 중지됩니다.
답변2
DNS 레코드에 대해 알아야 할 점은 매번 다시 생성되지는 않는다는 것입니다. 클라이언트가 등록을 취소하면 레코드는 dnsTombstoned로 표시됩니다. 레코드가 여전히 존재하지만 DNS 관리자에 표시되지 않습니다. 클라이언트가 갱신되면 이전 DNS 레코드가 다시 애니메이션됩니다. 문제 레코드를 찾으면 ADSIEDIT를 사용하여 DNS 레코드 개체를 제거하고(DC/DNS 서버가 여러 개인 경우 복제) 클라이언트가 대신 새 레코드를 갱신하고 생성할 때 증상이 발생하는지 확인할 수 있습니다. 기존 레코드를 다시 애니메이션합니다. 소유자는 묘비 기록에 있는 기존 소유자일 가능성이 있습니다.
ADSIEDIT에서 구성 명명 컨텍스트를 열고 파티션을 선택한 다음 오른쪽 창에서 DomainDNSZones 파티션을 마우스 오른쪽 버튼으로 클릭하고 명명 컨텍스트에 대한 새 연결을 선택한 다음 MicrosoftDNS로 드릴다운하여 영역에 대한 레코드를 볼 수 있습니다.