動態 DNS 更新行為不一致

動態 DNS 更新行為不一致

將 Windows Server 2003 Active Directory 網域升級到 Server 2008,並將用戶端 PC 從 Windows XP 升級到 Windows 7 後,我發現動態 DNS 更新行為不一致。

兩個網域控制器還具有 DHCP 和 DNS 角色。每個DHCP 伺服器都有「DNS 動態更新註冊憑證」設置,其中填充了一個用戶帳戶,該帳戶是「DnsUpdateProxy」群組的成員,並且(儘管我已經看到了支持和反對的論點)我已將伺服器本身新增到“DnsUpdateProxy”群組。

DHCP 伺服器設定為勾選以下設定:

'根據下面的設定啟用 DNS 動態更新' '始終動態更新 DNS A 和 PTR 記錄' '刪除租約時丟棄 A 和 PTR 記錄'

有些電腦似乎運作良好。他們請求 DHCP 位址,DHCP 伺服器會向他們提供一個位址並更新 DNS。如果我檢查透過動態更新建立的「A」記錄的安全性,則該記錄歸為 DNS 動態更新註冊已建立並填入 DHCP 伺服器中的帳戶所有。

另一方面,某些 PC 似乎直接向 DNS 伺服器註冊自己的「A」記錄。這會導致「系統」或 PC 的 AD 電腦帳戶擁有「A」記錄。發生這種情況時,由於其安全性設置,DHCP 伺服器將無法寫入「A」記錄。

我能想到的解決此問題的唯一方法是將區域的完全控制權授予 DHCP 伺服器所使用的帳戶,以動態更新 DHCP 伺服器。這將允許它刪除/修改任何“A”記錄,即使是那些它尚未建立的記錄。

更好的方法是弄清楚為什麼 PC 有時會註冊“A”記錄而不是 DHCP 伺服器。

如果有人以前遇到過這個問題,我真的很感激一些建議。

答案1

我相信您想要做的只是告訴所有 DHCP 用戶端不要在 AD 中註冊自己的 DNS 記錄。這動態更新GPO 在每台電腦的基礎上控制此行為;當它被停用時,每個連接的「在 DNS 中註冊此連接的位址」選項不起作用,並且不會發生動態註冊,讓 DHCP 伺服器在不受干擾的情況下處理它。您應該只在應該是 DHCP 用戶端的電腦上設定此 GPO。

如果您覺得有用,這是適用於 Windows DNS 用戶端的 GPO 的參考

您將在電腦範圍內的管理範本和網路下的 DNS 設定中找到此特定的 GPO。將動態更新策略設為停用,等待套用 GPO,該行為應該停止。

答案2

對於 DNS 記錄,需要注意的是它們不會每次都重新建立。當客戶端取消註冊時,記錄將被標記為 dnsTombstoned。該記錄仍然存在,但在 DNS 管理員中不可見。當用戶端更新時,先前的 DNS 記錄將重新啟動。如果您發現問題記錄,您可能需要確定當使用 ADSIEDIT 刪除 DNS 記錄物件(如果您有多個 DC/DNS 伺服器則進行複製)並且用戶端更新並建立新記錄時是否會出現該症狀,而不是重新激活現有記錄。所有者可能只是墓碑記錄中的現有所有者。

在ADSIEDIT 中,您可以打開“配置命名上下文”,選擇“分區”,然後在右側窗格中右鍵單擊“DomainDNSZones”分區並選擇“新建到命名上下文的連接”,然後深入到MicrosoftDNS 以查看該區域的記錄。

相關內容