我有一個 DHCP 伺服器,配置為始終動態更新 DNS 記錄。 DNS 伺服器配置為允許安全和不安全的更新(我知道它不安全,但這是一個僅限內部的網絡,沒有互聯網連接)。兩者都是 Windows Server 2016。
單域、單林。
有一個分支機構,它有不同的子網路(仍然是相同的網域),在總部和分支機構之間有 VPN。分公司中的另一個 DC,運行 DHCP(僅適用於分公司)和 DNS(適用於整個網域)。主辦事處和分支機構的 DC 之間的複製工作正常。
關於子網劃分沒有任何特殊設定。 DNS 中的兩個子網路都存在正向和反向查找區域。
總部的用戶端從總部的 DC 取得 IP 位址,DNS 正確更新其 A 記錄和 PTR 記錄。
然而,在分公司中,雖然用戶端確實獲得了 IP 位址,並且建立了正確的 A 記錄,但從未為 DHCP 用戶端建立 PTR 記錄。 (僅適用於靜態條目。)
用戶端確實會在 DHCP 請求封包中傳送選項 81,並使用 FQDN,所有標誌均設為零。
請注意,我允許安全和不安全的更新,因此它不應該由缺少憑證引起。我尚未配置 DNS 更新的憑證,但我不知道這有什麼幫助,因為允許不安全的更新。
在用戶端上,進階 TCP 選項「使用 DNS 註冊此連線的位址」會選取(Windows 預設)。
我看到了使用選項「在 DNS 註冊中使用此連線的 DNS 後綴」配置每個用戶端的建議。還沒嘗試過,但不明白為什麼這會有幫助。 (它確實發送 FQDN,並且應該是執行 DNS 註冊的伺服器。)並且希望避免手動配置所有客戶端。
有人知道這是否與同一域中有第二個子網有關?
我該如何正確配置它以便 DNS / DHCP 知道要做什麼?
答案1
透過更新分行 DHCP 伺服器中的憑證解決了這個問題 - 它實際上與多個子網路無關。
(右鍵單擊DCHP 伺服器中網域下的IPv4,選擇“高級”和“憑證”,輸入新的使用者/密碼資訊- 這應該是僅用於此目的的非特權使用者帳戶,密碼永不過期且使用者無法更改密碼。
在分公司的這台 DHCP 伺服器上(並且僅在這台伺服器上),憑證被設定為實際使用者帳戶,該帳戶的密碼在幾個月前已更改。
由於允許不安全的更新,因此失敗的身份驗證通常並不重要。
但為什麼它確實重要,我相信是因為我的網域是多層次的(internal.example.com),而 AD 為「internal.example.com」和「example.com」創建了一個正向查找區域。在“example.com”區域動態更新設定為“僅安全”,而“inernal.example.com”則設定為“不安全且安全”。
因此,父域無法更新的事實似乎導致 PTR 更新失敗。
(請注意,將 DHCP 伺服器新增至 DnsUpdateProxy 群組並不能解決這種情況下的問題。)