Como desativar totalmente o DNS dinâmico no Windows Server?

Depois de fazer o que mencionei nos comentários, marcando esta manhã, há apenas atualizações de DNS das sub-redes de alunos das estações de trabalho que ingressaram no domínio. Não há atualizações de DNS de telefones, tablets, dispositivos pessoais, etc.

Então, para recapitular, fizemos o seguinte:

• DNS: clique com o botão direito do mouse no domínio na zona de pesquisa do fwd > Propriedades > Mudou "Atualizações dinâmicas" para "Somente seguro". (anteriormente era "Não seguro e seguro")
• DHCP: clique com o botão direito no respectivo escopo DHCP > Propriedades > Separador DNS > UNCHECK "Ativar atualizações dinâmicas de DNS de acordo com as configurações abaixo"
• DNS: exclua todos os registros das sub-redes de alunos (de todos os servidores DNS)

Mas, além de tudo isso, também fizemos o seguinte:

• DHCP: exclua todas as concessões de cada escopo respectivo.

Depois de fazer os primeiros três itens, classificamos as concessões de DHCP por Expiração de concessão. Isso mostrou novos arrendamentos. Em seguida, verificamos o DNS e constatamos que quaisquer novas concessões que eram claramente dispositivos que não eram de domínio (users-iphone.domain.com, bigdicksipad.domain.com [yup ... estudantes universitários ...]) NÃO estavam atualizando dinamicamente o DNS .

Então, as duas primeiras das três primeiras ações que fizemos realmente funcionaram. A questão que estávamos tendo era que, depois de 15 ou mais minutos após a hora, a cada hora, 1400 novos registros DNS das sub-redes dos alunos estavam sendo repovoados em DNS e ISSO é o que não conseguimos descobrir.

Por um capricho, percebemos que NOVOS proprietários de registros de leasing eram os próprios dispositivos (domainworkstation01 $), mas os registros RENEWED ou OLD lease eram de propriedade do próprio servidor DHCP ou da conta de domínio que manipula as atualizações de DNS dinâmicas mencionadas em um comentário acima (DHCP > Servidor > IPv4 (clique com o botão direito em > Propriedades) > Avançado > Credenciais ...) ou SYSTEM.

Embora essas concessões estejam bem, e acabarão por cair após a expiração, o que descobrimos foi que, enquanto elas estavam no DHCP, o DHCP criava registros baseados naqueles. O que fizemos foi excluir todos os registros de concessão de DHCP no DHCP nos escopos de sub-rede do aluno e, em seguida, excluímos os registros de DNS.

Depois de verificar esta manhã, posso ver que apenas os dispositivos associados ao domínio têm registros DNS nas sub-redes dos alunos (a equipe se conecta a eles).

Uau.

Obrigado a todos pela sua contribuição.

Outra coisa que você deve fazer / precisar fazer é configurar a eliminação em um dos servidores DC \ DNS e na (s) zona (s) DNS. Isso limpará os registros antigos e obsoletos automaticamente. Observe que você só precisa habilitar a eliminação em um dos seus servidores DC / DNS, como a zona do AD está integrada, a zona DNS será replicada para todos os outros servidores DC \ DNS, portanto, quaisquer alterações feitas serão replicadas como parte da replicação do AD para todos os outros servidores DC \ DNS. Não há necessidade de ativar a eliminação em mais de um servidor DC \ DNS e isso não é útil.

Observe também que, como a zona DNS é integrada ao AD, qualquer limpeza manual executada só precisa ser feita em um servidor DC \ DNS. Novamente, como a zona é integrada ao AD, todos os registros DNS que você limpar em um servidor DC \ DNS serão replicados para todos os outros servidores DC \ DNS.