DNS 레코드를 항상 동적으로 업데이트하도록 구성된 DHCP 서버가 있습니다. DNS 서버는 안전한 업데이트와 안전하지 않은 업데이트를 모두 허용하도록 구성되어 있습니다(안전하지 않다는 것은 알지만 이는 내부 전용 네트워크이며 인터넷에 연결되어 있지 않습니다). 둘 다 Windows Server 2016입니다.
단일 도메인, 단일 포리스트.
본사와 지점 사이에 VPN이 있는 다른 서브넷(여전히 동일한 도메인)을 가진 지점이 있습니다. DHCP(지점 전용) 및 DNS(전체 도메인용)를 실행하는 지점의 또 다른 DC입니다. 본사와 지점의 DC 간 복제가 제대로 작동합니다.
서브넷팅과 관련하여 특별히 설정한 것은 없습니다. DNS의 두 서브넷 모두에 대해 정방향 및 역방향 조회 영역이 존재합니다.
본사의 클라이언트는 본사의 DC에서 IP 주소를 가져오고 DNS는 A 레코드와 PTR 레코드를 올바르게 업데이트합니다.
그러나 지점에서는 클라이언트가 IP 주소를 얻고 적절한 A 레코드가 생성되는 동안 DHCP 클라이언트에 대한 PTR 레코드는 생성되지 않습니다. (정적 항목에만 해당됩니다.)
클라이언트는 FQDN과 함께 DHCP 요청 패킷의 옵션 81을 보내고 모든 플래그는 0으로 설정됩니다.
보안 업데이트와 안전하지 않은 업데이트를 모두 허용하므로 자격 증명 누락으로 인해 발생해서는 안 됩니다. DNS 업데이트에 대한 자격 증명을 구성하지 않았지만 안전하지 않은 업데이트가 허용되므로 이것이 어떻게 도움이 될지 모르겠습니다.
클라이언트에서는 고급 TCP 옵션 "이 연결의 주소를 DNS에 등록"이 선택되어 있습니다(Windows 기본값).
"DNS 등록에서 이 연결의 DNS 접미사 사용" 옵션을 사용하여 각 클라이언트를 구성하라는 제안을 보았습니다. 아직 이것을 시도하지 않았지만 이것이 왜 도움이 될지 알 수 없습니다. (FQDN을 보내며 DNS 등록을 수행하는 서버여야 합니다.) 그리고 모든 클라이언트를 수동으로 구성할 필요가 없도록 하고 싶습니다.
이것이 동일한 도메인에 두 번째 서브넷이 있다는 사실과 관련이 있는지 아는 사람이 있습니까?
그리고 DNS/DHCP가 무엇을 해야 할지 이해할 수 있도록 올바르게 구성하려면 어떻게 해야 합니까?
답변1
지점용 DHCP 서버의 자격 증명을 업데이트하여 문제를 해결했습니다. 실제로는 여러 서브넷과 관련이 없었습니다.
(DCHP 서버의 도메인 이름 아래 IPv4를 마우스 오른쪽 버튼으로 클릭하고 고급 및 자격 증명을 선택한 후 새 사용자/비밀번호 정보를 입력하세요. 이는 비밀번호가 만료되지 않고 사용자가 비밀번호를 변경할 수 없는 이 목적으로만 권한이 없는 사용자 계정이어야 합니다. . 권한이 없다고 말합니다. 하지만 DnsAdmin 그룹의 구성원이어야 합니다.)
지점에 있는 이 DHCP 서버(이 서버에만 해당)에서 자격 증명은 몇 달 전에 암호가 변경된 실제 사용자 계정으로 설정되었습니다.
안전하지 않은 업데이트가 허용되었으므로 실패한 인증은 일반적으로 중요하지 않습니다.
하지만 이것이 중요한 이유는 내 도메인 이름이 다중 레벨(internal.example.com)이고 AD가 "internal.example.com"과 "example.com" 모두에 대한 정방향 조회 영역을 생성했기 때문이라고 생각합니다. 그리고 "example.com" 영역에서는 동적 업데이트가 "보안 전용"으로 설정되어 있는 반면, "inernal.example.com"은 "안전하지 않음 및 보안"으로 설정되어 있습니다.
따라서 상위 도메인을 업데이트할 수 없다는 사실로 인해 PTR 업데이트가 실패하는 것처럼 보였습니다.
(이 경우 DnsUpdateProxy 그룹에 DHCP 서버를 추가해도 문제가 해결되지 않았습니다.)