После обновления домена Active Directory Windows Server 2003 до Server 2008 и обновления клиентских компьютеров с Windows XP до Windows 7 я наблюдаю непоследовательное поведение динамического обновления DNS.
Два контроллера домена также имеют роль DHCP и DNS. Каждый сервер DHCP имеет настройку «DNS dynamic updates registration credentials», заполненную учетной записью пользователя, которая является членом группы «DnsUpdateProxy», и (хотя я видел аргументы за и против) я добавил сами серверы в группу «DnsUpdateProxy».
DHCP-серверы настроены со следующими отмеченными параметрами:
«Включить динамические обновления DNS в соответствии с настройками ниже» «Всегда динамически обновлять записи DNS A и PTR» «Отбрасывать записи A и PTR при удалении аренды»
Некоторые ПК, похоже, работают нормально. Они запрашивают адрес DHCP, и сервер DHCP выдает им один и обновляет DNS. Если я проверю безопасность записи 'A', созданной посредством динамического обновления, то запись принадлежит учетной записи, созданной для регистрации динамического обновления DNS и заполненной на сервере DHCP.
С другой стороны, некоторые ПК регистрируют свои собственные записи 'A' напрямую на DNS-сервере. Это приводит к тому, что запись 'A' принадлежит либо 'system', либо учетной записи компьютера AD ПК. Когда это происходит, запись 'A' становится недоступной для записи DHCP-сервером из-за его настроек безопасности.
Единственный способ, который я могу придумать, это предоставить полный контроль над зоной учетной записи, используемой DHCP-сервером для динамического обновления DHCP-сервера. Это затем позволит ему удалять/изменять любые записи 'A', даже те, которые он не создавал.
Лучшим способом было бы выяснить, почему ПК иногда регистрируют записи «A» вместо DHCP-сервера.
Буду очень признателен за совет, если кто-то уже сталкивался с этим.
решение1
Я полагаю, что вы просто хотите сказать всем вашим DHCP-клиентам не регистрировать свои собственные записи DNS в AD.динамическое обновлениеGPO управляет этим поведением на уровне компьютера; когда он отключен, опция "регистрировать адрес этого подключения в DNS" для каждого соединения не действует, и динамическая регистрация не происходит, оставляя DHCP-серверу заботиться об этом без вмешательства. Вам следует устанавливать этот GPO только на компьютерах, которые должны быть DHCP-клиентами.
Если вы найдете это полезным,вот ссылка на объекты групповой политики, которые применяются к DNS-клиенту Windows.
Вы найдете этот конкретный GPO в области компьютера, в административных шаблонах и сети, в настройках DNS. Отключите политику динамического обновления, дождитесь применения GPO, и поведение должно прекратиться.
решение2
Что нужно знать о записях DNS, так это то, что они не создаются заново каждый раз. Когда клиент отменяет регистрацию, запись помечается как dnsTombstoned. Запись все еще существует, но не видна в DNS Manager. Когда клиент обновляется, предыдущая запись DNS повторно анимируется. Если вы обнаружили проблемную запись, вы можете захотеть определить, возникает ли симптом, когда объект записи DNS удаляется с помощью ADSIEDIT (и реплицируется, если у вас несколько контроллеров домена/серверов DNS), а клиент обновляет и создает новую запись вместо повторной анимации существующей записи. Возможно, что владельцем был просто существующий владелец записи tombstoned.
В ADSIEDIT можно открыть контекст именования конфигурации, выбрать разделы, на правой панели щелкнуть правой кнопкой мыши раздел DomainDNSZones и выбрать «Новое подключение к контексту именования», а затем перейти к MicrosoftDNS, чтобы просмотреть записи для зоны.