Depois de atualizar um domínio do Active Directory do Windows Server 2003 para o Server 2008 e atualizar os PCs clientes do Windows XP para o Windows 7, estou vendo um comportamento inconsistente de atualização de DNS dinâmico.
Dois controladores de domínio também têm funções DHCP e DNS. Cada servidor DHCP tem a configuração 'Credenciais de registro de atualizações dinâmicas de DNS' preenchida com uma conta de usuário que é membro do grupo 'DnsUpdateProxy' e (embora eu tenha visto argumentos a favor e contra) adicionei os próprios servidores ao Grupo 'DnsUpdateProxy'.
Os servidores DHCP são configurados com as seguintes configurações marcadas:
'Ativar atualizações dinâmicas de DNS de acordo com as configurações abaixo' 'Sempre atualizar dinamicamente os registros DNS A e PTR' 'Descartar registros A e PTR quando uma concessão for excluída'
Alguns PCs parecem funcionar bem. Eles solicitam um endereço DHCP e o servidor DHCP lhes entrega um e atualiza o DNS. Se eu verificar a segurança do registro 'A' criado por meio da atualização dinâmica, o registro pertencerá à conta criada para registro de atualização dinâmica de DNS e preenchido no servidor DHCP.
Alguns PCs, por outro lado, parecem registrar seus próprios registros 'A' diretamente no servidor DNS. Isso resulta em um registro 'A' pertencente ao 'sistema' ou à conta do computador AD do PC. Quando isso acontece, o registro 'A' torna-se impossível de ser gravado pelo servidor DHCP devido às suas configurações de segurança.
A única maneira de pensar nisso é conceder controle total da zona à conta usada pelo servidor DHCP para atualizar dinamicamente o servidor DHCP. Isso permitiria excluir/modificar qualquer registro 'A', mesmo aqueles que não foram criados.
Uma maneira melhor seria descobrir por que os PCs às vezes registram registros 'A' em vez do servidor DHCP.
Eu realmente aprecio alguns conselhos se alguém já se deparou com isso antes.
Responder1
Acredito que o que você deseja fazer é simplesmente dizer a todos os seus clientes DHCP para não registrarem seus próprios registros DNS no AD. Oatualização dinâmicaO GPO controla esse comportamento por computador; quando desabilitada, a opção "cadastrar o endereço desta conexão no DNS" por conexão não tem efeito e o registro dinâmico não ocorre, cabendo ao servidor DHCP cuidar disso sem interferências. Você deve definir esse GPO apenas em computadores que devem ser clientes DHCP.
Se você achar útil,aqui está uma referência para GPOs que se aplicam ao cliente DNS do Windows.
Você encontrará esse GPO específico no escopo do computador, em modelos administrativos e rede, nas configurações de DNS. Defina a política de atualização dinâmica como desabilitada, aguarde a aplicação do GPO e o comportamento deverá parar.
Responder2
Algo a ter em conta com os registos DNS é que eles não são recriados sempre. Quando um cliente cancela o registro, o registro é marcado como dnsTombstoned. O registro ainda existe, mas não está visível no Gerenciador DNS. Quando o cliente renova, o registro DNS anterior é reanimado. Se você encontrar um registro com problema, talvez queira determinar se o sintoma ocorre quando o objeto de registro DNS é removido usando ADSIEDIT (e replicado se você tiver vários servidores DNS/DC) e o cliente renova e cria um novo registro, em vez de reanimando o registro existente. É possível que o proprietário fosse apenas o proprietário existente no registro marcado para exclusão.
No ADSIEDIT, você pode abrir o Contexto de Nomenclatura de Configuração, selecionar Partições e, no painel direito, clicar com o botão direito na partição DomainDNSZones e selecionar Nova Conexão ao Contexto de Nomenclatura e, em seguida, fazer uma busca detalhada em MicrosoftDNS para visualizar os registros da zona.