Precisa de ajuda para entender o DNS do Windows, o DHCP e os PTRs dinâmicos

6

Eu herdei o gerenciamento de um conjunto de servidores do AD que executam o DNS com suporte do AD. Um deles está executando o DHCP.

Para intervalos IP servidos por esse servidor DHCP do Windows, as zonas in-addr.arpa estão sendo atendidas de maneira autoritativa pelos servidores DNS do AD para permitir que o AD seja feliz consigo mesmo e permita que o DNS dinâmico funcione corretamente.

Para cada uma dessas zonas in-addr.arpa, eu também estou puxando o secundário dos meus servidores de nomes unix / linux executando o BIND9.

Eu comecei a ver com frequência erros como esse em meus registros nos servidores * nix:

Jun  8 13:40:07 ns1 named[6083]: general: warning: '3.37.19.172.in-addr.arpa/PTR/IN': TTL differs in rdataset, adjusting 900 -> 1200

Eu entendo de uma perspectiva técnica e de DNS o que está acontecendo aqui. Existem registros de > 1 para o 3.37.19.172.in-addr.arpa e eles têm diferentes TTLs. O BIND está normalizando os TTLs e me informando sobre isso. Eu confirmei que este é o caso, pegando um AXFR manual da zona:

ns1 0 /home/jj33 ># xfer 37.19.172.in-addr.arpa ad-dns | grep '^3\.'                  <
3.37.19.172.in-addr.arpa.       900     IN      PTR     0509-l3-tmbxt.example.ad.
3.37.19.172.in-addr.arpa.       1200    IN      PTR     0402-3p2jf41.example.ad.

Ao examinar as ferramentas DNS e DHCP do Windows, parece muito provável que, com base no tempo de concessão, 0402-3p2jf41.example.ad tenha retornado seu contrato ou tenha ido embora e nunca mais voltado, permitindo que a concessão expirasse. 0509-l3-tmbxt.example.ad apareceu, pegou o IP e inseriu seu nome para o registro 3.37.19.172.in-addr.arpa.

Então, com toda a explicação feita, tenho várias perguntas:

  • No processo DDNS, quem realmente define o TTL do registro reverso? O servidor DNS, o servidor DHCP ou o cliente DHCP?
  • Por que os registros obsoletos do in-addr.arpa não estão sendo excluídos? O servidor DNS deve saber excluir nomes de DDNS existentes quando um novo nome de DDNS é enviado?
  • Por que isso de repente começou a ocorrer? Este sistema tem funcionado por anos, com isso ocorrendo apenas um par de vezes antes, e sempre com o mesmo endereço IP. Nos últimos dias, isso aconteceu várias vezes com vários IPs.
  • A limpeza ajudaria? No momento, não o ativamos. Embora eu deva investigar isso por seus próprios méritos, não tenho certeza se isso ajudaria nessa situação, já que o padrão parece ser de 7 dias antes da eliminação.
  • Será que esta situação exige ação, ou se eu ignorar isso, "algo" irá acabar com os registros obsoletos (eu realmente odeio esperar pela intervenção divina, mas parece estranho que não tenhamos enfrentado isso antes). / li>

Além das perguntas, alguém pode compartilhar qualquer experiência duramente conquistada relacionada a esse problema? Obrigado.

UPDATE 1: Parece que, em um nível por RR, a eliminação está ativada. Ele está ativado no nível do servidor DNS, está desativado no nível da zona e, agora que tenho a visualização avançada ativada, posso ver que ela está ativada também para registros inseridos dinamicamente. Então, não é um problema de eliminação não funcionar, é um problema do atraso de 7 dias mais as diferenças (aparentemente novas?) Do TTL.

UPDATE 2: O escopo DHCP também tem "Descartar registros A e PTR quando a concessão for excluída" marcada. Isso parece uma falha por parte do servidor DHCP, pois a concessão para o PTR original desapareceu do servidor DHCP ...

Obrigado pelas suas respostas até agora. Eu estou digerindo-os e reunindo informações para ver se o ruído que estou vendo é um monte de registros gerando alguns logs cada ou alguns registros gerando um monte de logs cada. Além disso, auditando meus PTRs para ver se essa coisa de registro duplo é comum, mas só estou percebendo isso porque os TTLs começaram a se diferenciar. Eu estou inclinado para este ser um não-problema que a eliminação irá abordar, mas eu ainda gostaria de entender onde os diferentes TTLs vêm de

    
por jj33 08.06.2009 / 22:37

2 respostas

3

Este é um artigo da Microsoft que descreve o processo dinâmico de DNS com seu servidor DHCP: link

O comportamento do estoque de W2K e acima é para o cliente solicitar ao servidor DHCP registrar o registro PTR em nome do cliente, e o cliente registra o próprio registro A. O servidor DHCP pode ser feito para registrar o registro A e o registro PTR (inclusive para clientes pré-Windows 2000 que não podem criar registros DDNS).

Existe uma configuração opcional para que o servidor DHCP exclua os registros A e PTR quando uma concessão for descartada. Se a concessão não tiver tempo limite, os registros não serão excluídos.

Você deve estar envelhecendo e limpando suas zonas DDNS. Se você está envelhecendo e limpando, isso acabará "purgando". Se você não for, não vai.

Este artigo de suporte da Microsoft explica como definir o valor de TTL para registros de recursos DNS registrados por servidores DHCP (originalmente em um hotfix, agora incorporado ao SO): link

Para alterar o comportamento de computadores clientes em registros de DNS, dê uma olhada em Diretiva de Grupo no nó Cliente DNS no subnó Rede dos Modelos Administrativos nó da Configuração do Computador . Lá, você descobrirá que pode forçar os clientes a registrarem seus registros PTR, em vez de fazê-lo pelo servidor DHCP (se assim o desejar), e você pode definir o TTL nos registros registrados pelos clientes.

Não sei por que isso iria começar a ocorrer de repente. Alguma configuração teve que mudar, mas não sei dizer onde. Comece a conversar com seus co-administradores sobre quaisquer alterações que possam ter feito na configuração do servidor DHCP ou nas configurações de política de grupo para o comportamento do DNS dinâmico dos clientes.

Eu não posso dizer que vi o comportamento de vários clientes registrando o mesmo registro PTR. Isso é estranho. Vou ter que adiar para alguém sobre isso. Eu direi que todas as minhas zonas reversas são sempre integradas ao AD e exigem atualizações seguras, mas não sei se isso teria um efeito sobre isso.

Na minha experiência, apenas o envelhecimento e a limpeza ativados fazem muita diferença na eliminação de registros obsoletos. O intervalo padrão de 7 dias funcionou bem para mim.

    
por 08.06.2009 / 23:03
1

Uma maneira rápida e suja de limpar isso - enquanto você está no processo de fazer isso corretamente, implementando a eliminação - é apenas excluir todos os registros em sua (s) zona (s) reversa (s) do Windows. O servidor DNS irá automaticamente recriá-los corretamente para você, à medida que cada cliente entrar em contato com ele na próxima vez.

Não é uma coisa recomendada para se fazer como uma prática geral, e se você estiver fazendo esse tipo de coisa regularmente, precisará revisar como gerencia seu DNS, mas é bom para limpar uma zona reversa confusa (funcionou para mim).

Se você está preocupado com essa abordagem (e eu aconselho que você deveria ser) tente excluir um ou dois e ver como as coisas se comportam.

    
por 09.06.2009 / 00:23