그룹 정책으로 동적 DNS 업데이트 비활성화

나는 통제할 수 없는 이유로 분리된 DNS 네임스페이스를 갖는 시스템을 관리하고 있습니다. 마음에 들지는 않지만 원래 그런 거고 바꿀 방법도 없어요. 그 이유는 서버가 기존 DNS 인프라와 공존해야 하기 때문입니다.

Windows 도메인의 이름은 NETBIOS 이름이 AD인 ad.example.com과 같습니다. 그러나 모든 DNS 서버에는 네트워크 위치에 따라 기본 DNS 접미사가 "example.com" 또는 "sub.example.com"으로 설정되어 있습니다. 다음에 따라 도메인에 msDS-AllowedDNSSuffixes 속성을 구성했습니다.Technet에서 분리된 네임스페이스 기사 만들기.

ad.example.com 도메인의 DNS는 환경의 두 도메인 컨트롤러에서 실행되고, example.com 및 sub.example.com의 DNS는 Microsoft가 아닌 다른 DNS 서버에서 실행됩니다.

이 환경에서는 DNS가 동적 DNS 등록 및 업데이트에 의존하지 않고 수동으로 관리됩니다.

---

이벤트 로그에 나타나는 다음과 같은 몇 가지 성가신 경고 오류를 제외하고는 환경이 잘 작동합니다.

The system failed to register host (A or AAAA) resource records (RRs) for
network adapter with settings:

Adapter Name : <censored>
Host Name : <censored>
Primary Domain Suffix : sub.example.com
DNS server list :
<censored> (These are the domain controllers for ad.example.com)
Sent update to server : <?>
IP Address(es) :
<censored> (This is the IP address of the host in question)

The reason the system could not register these RRs was because of a security related
problem. The cause of this could be (a) your computer does not have permissions
to register and update the specific DNS domain name set for this adapter, or 
(b) there might have been a problem negotiating valid credentials with the DNS
server during the processing of the update request.

You can manually retry DNS registration of the network adapter and its settings
by typing 'ipconfig /registerdns' at the command prompt. If problems still persist,
contact your DNS server or network systems administrator. See event details for
specific error code information.

오류는 시스템 로그에 표시되며 소스는 "DNS 클라이언트 이벤트"이고 경고 수준은 이벤트 ID 8015입니다.

패킷 스니프를 수행하면 Windows 상자가 sub.example.com의 권한 있는 DNS 서버에 대해 동적 DNS 업데이트를 수행하는 것으로 나타납니다. 이는 동적 업데이트를 지원하지 않으며 활성화하고 싶지도 않습니다.

---

따라서 우리는 그룹 정책을 사용하여 동적 DNS 업데이트를 비활성화하는 작업을 스스로 설정했습니다.

금요일에 그룹 정책을 만들어 아래 스크린샷과 같이 도메인 상단에 연결했습니다.

컴퓨터 구성/정책/관리 템플릿/네트워크/DNS 클라이언트/동적 업데이트 정책이 비활성화로 설정되었습니다.

그러나 며칠이 지난 후에도(그룹 정책을 복제하고 서버에 적용하기에 충분한 시간) 이러한 이벤트는 계속해서 로그에 나타납니다.

GPRESULT를 사용하여 문제의 서버에 정책이 실제로 적용되었는지 확인했습니다.

의 출력 gpresult /scope Computer /v은 다음과 같습니다(익명화를 위해 일부 관련 없는 데이터가 제거됨).

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
© 2013 Microsoft Corporation. All rights reserved.

Created on 2015-10-05 at 15:06:54



RSOP data for AD\ad79632 on BESTLA : Logging Mode
--------------------------------------------------

OS Configuration:            Member Server
OS Version:                  6.3.9600
Site Name:                   Example
Roaming Profile:             N/A
Local Profile:               C:\Users\ad79632
Connected over a slow link?: No


COMPUTER SETTINGS
------------------
    CN=BESTLA,OU=Servers,OU=Computers,OU=SHEM,DC=ad,DC=example,DC=com
    Last time Group Policy was applied: 2015-10-05 at 14:09:58
    Group Policy was applied from:      dc02.example.com
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        AD
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
<some GPOs omitted for security reasons>
        Disable Dynamic DNS Updates

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Users
        RDS Endpoint Servers
        RDS Management Servers
        RDS Remote Access Servers
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        BESTLA$
        Day-active Computers
        Domain Computers
        Authentication authority asserted identity
        System Mandatory Level

    Resultant Set Of Policies for Computer
    ---------------------------------------

        Software Installations
        ----------------------
            N/A

        Startup Scripts
        ---------------
            N/A

        Shutdown Scripts
        ----------------
            N/A

        Account Policies
        ----------------
<some GPOs omitted for security reasons>

        Audit Policy
        ------------
            N/A

        User Rights
        -----------
            N/A

        Security Options
        ----------------
<some GPOs omitted for security reasons>

        Event Log Settings
        ------------------
            N/A

        Restricted Groups
        -----------------
            N/A

        System Services
        ---------------
            N/A

        Registry Settings
        -----------------
            N/A

        File System Settings
        --------------------
            N/A

        Public Key Policies
        -------------------
            N/A

        Administrative Templates
        ------------------------
<some GPOs omitted for security reasons>
            GPO: Disable Dynamic DNS Updates
                Folder Id: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\RegistrationEnabled
                Value:       0, 0, 0, 0
                State:       Enabled
<some GPOs omitted for security reasons>

문제의 레지스트리 키는 이 스크린샷에서 볼 수 있듯이 실제로 업데이트되었습니다.

그렇다면 내가 무엇을 놓치고 있는 걸까요?