Eu tenho um servidor DHCP configurado para sempre atualizar dinamicamente os registros DNS. O servidor DNS está configurado para permitir atualizações seguras e inseguras (sei que não é seguro, mas esta é uma rede somente interna, sem conexão com a Internet). Ambos são Windows Server 2016.
Domínio único, floresta única.
Existe uma filial, que possui uma sub-rede diferente (ainda o mesmo domínio), com VPN entre a sede e a filial. Outro controlador de domínio na filial, que executa DHCP (somente para a filial) e DNS (para todo o domínio). A replicação entre os controladores de domínio nos escritórios principais e filiais funciona bem.
Não há nada especial configurado em relação à sub-rede. Existem zonas de pesquisa direta e reversa para ambas as sub-redes no DNS.
Os clientes no escritório principal obtêm endereços IP do controlador de domínio no escritório principal e o DNS atualiza seus registros A e PTR corretamente.
No entanto - na filial, embora os clientes obtenham endereços IP e os registros A adequados sejam criados, nenhum registro PTR é criado para clientes DHCP. (Somente para entradas estáticas.)
Os clientes enviam a opção 81 no pacote de solicitação DHCP, com FQDN, todos os sinalizadores definidos como zero.
Observe que eu permito atualizações seguras e inseguras, portanto, isso não deve ser causado pela falta de credenciais. Não configurei credenciais para atualizações de DNS, mas não vejo como isso ajudaria, já que atualizações inseguras são permitidas.
Nos clientes, a opção TCP Avançado "Registrar os endereços desta conexão com DNS" está marcada (padrão do Windows).
Tenho visto sugestões para configurar cada cliente com a opção "Usar o sufixo DNS desta conexão no registro DNS". Ainda não tentei isso, mas não consigo entender por que isso deveria ajudar em alguma coisa. (Ele envia o FQDN e deve ser o servidor que está fazendo o registro do DNS.) E gostaria de evitar ter que configurar todos os clientes manualmente.
Alguém sabe se isso está relacionado ao fato de existir uma segunda sub-rede no mesmo domínio?
E como eu faria para configurá-lo corretamente para que o DNS/DHCP entenda o que fazer?
Responder1
Resolvi isso atualizando as credenciais no servidor DHCP da filial - na verdade, não estava relacionado a várias sub-redes.
(Clique com o botão direito em IPv4 sob o nome de domínio no Servidor DCHP, selecione Avançado e Credenciais, insira novas informações de usuário/senha - esta deve ser uma conta de usuário sem privilégios apenas para esse propósito, com a senha nunca expirando e o usuário não podendo alterar a senha . Digo sem privilégios - no entanto, deve ser membro do grupo DnsAdmin.)
Neste servidor DHCP da filial (e somente nesta), as credenciais foram configuradas para uma conta de usuário real que teve sua senha alterada meses atrás.
Como as atualizações inseguras eram permitidas, a falha na autenticação normalmente não importava.
Acredito que o motivo pelo qual isso importava era que meu nome de domínio é multinível (internal.example.com) e o AD criou uma zona de pesquisa direta para "internal.example.com" e "example.com". E na zona "example.com" as Atualizações Dinâmicas foram definidas como "Somente Seguro", enquanto "inernal.example.com" tinha "Inseguro e seguro".
Então, de alguma forma, o fato de um domínio pai não poder ser atualizado pareceu fazer com que a atualização do PTR falhasse.
(Observe que adicionar os servidores DHCP ao grupo DnsUpdateProxy NÃO resolveu o problema neste caso.)