Estou administrando um sistema que, por motivos além do meu controle, tem um namespace DNS separado. Eu não gosto disso, mas é assim, e não tenho como mudar isso. A razão é que os servidores precisam coexistir com uma infra-estrutura DNS pré-existente.
O domínio do Windows é chamado algo como ad.example.com com um nome NETBIOS do AD. No entanto, todos os servidores DNS têm seu sufixo DNS primário definido como "example.com" ou "sub.example.com", dependendo de onde estão na rede. Configurei o atributo msDS-AllowedDNSSuffixes no domínio, de acordo com o artigo Criar um espaço para nome separado no Technet .
O DNS do domínio ad.example.com é executado nos dois controladores de domínio no ambiente, e o DNS do exemplo.com e do sub.exemplo.com são executados em outros servidores DNS que não são da Microsoft. / p>
Nesse ambiente, o DNS é gerenciado manualmente, em vez de depender do registro e das atualizações dinâmicas do DNS.
O ambiente funciona bem, exceto por alguns erros de aviso irritantes que aparecem nos logs de eventos, que se parecem com isso:
The system failed to register host (A or AAAA) resource records (RRs) for
network adapter with settings:
Adapter Name : <censored>
Host Name : <censored>
Primary Domain Suffix : sub.example.com
DNS server list :
<censored> (These are the domain controllers for ad.example.com)
Sent update to server : <?>
IP Address(es) :
<censored> (This is the IP address of the host in question)
The reason the system could not register these RRs was because of a security related
problem. The cause of this could be (a) your computer does not have permissions
to register and update the specific DNS domain name set for this adapter, or
(b) there might have been a problem negotiating valid credentials with the DNS
server during the processing of the update request.
You can manually retry DNS registration of the network adapter and its settings
by typing 'ipconfig /registerdns' at the command prompt. If problems still persist,
contact your DNS server or network systems administrator. See event details for
specific error code information.
Os erros aparecem no log do sistema, com origem sendo "Eventos de cliente DNS", no nível de aviso, com a identificação de evento 8015.
Ao fazer um sniff de pacote, parece que as caixas do Windows parecem fazer atualizações de DNS dinâmicas para o servidor DNS autoritativo de sub.example.com, que não suporta Atualizações dinâmicas (nem queremos ativá-las).
Portanto, definimos a tarefa de desativar as atualizações dinâmicas de DNS usando a política de grupo.
Na sexta-feira, criei uma política de grupo e a vinculei ao topo do domínio, como na captura de tela abaixo:
ApolíticaConfiguraçãodoComputador/Políticas/ModelosAdministrativos/Rede/ClienteDNS/AtualizaçõesDinâmicasfoidefinidacomoDesativar.
Noentanto,mesmoapósváriosdias(bastantetempoparaapolíticadegruporeplicareaplicaraosservidores),esseseventoscontinuamaparecendonosregistros.
EuverifiqueiusandooGPRESULTqueapolíticafoiaplicadanoservidoremquestão.
Asaídadegpresult/scopeComputer/vestáaquiabaixo(comalgunsdadosirrelevantesremovidosparafinsdeanonimização):
Microsoft(R)Windows(R)OperatingSystemGroupPolicyResulttoolv2.0©2013MicrosoftCorporation.Allrightsreserved.Createdon2015-10-05at15:06:54RSOPdataforAD\ad79632onBESTLA:LoggingMode--------------------------------------------------OSConfiguration:MemberServerOSVersion:6.3.9600SiteName:ExampleRoamingProfile:N/ALocalProfile:C:\Users\ad79632Connectedoveraslowlink?:NoCOMPUTERSETTINGS------------------CN=BESTLA,OU=Servers,OU=Computers,OU=SHEM,DC=ad,DC=example,DC=comLasttimeGroupPolicywasapplied:2015-10-05at14:09:58GroupPolicywasappliedfrom:dc02.example.comGroupPolicyslowlinkthreshold:500kbpsDomainName:ADDomainType:Windows2008orlaterAppliedGroupPolicyObjects-----------------------------<someGPOsomittedforsecurityreasons>DisableDynamicDNSUpdatesThefollowingGPOswerenotappliedbecausetheywerefilteredout-------------------------------------------------------------------LocalGroupPolicyFiltering:NotApplied(Empty)Thecomputerisapartofthefollowingsecuritygroups-------------------------------------------------------BUILTIN\AdministratorsEveryoneBUILTIN\UsersRDSEndpointServersRDSManagementServersRDSRemoteAccessServersNTAUTHORITY\NETWORKNTAUTHORITY\AuthenticatedUsersThisOrganizationBESTLA$Day-activeComputersDomainComputersAuthenticationauthorityassertedidentitySystemMandatoryLevelResultantSetOfPoliciesforComputer---------------------------------------SoftwareInstallations----------------------N/AStartupScripts---------------N/AShutdownScripts----------------N/AAccountPolicies----------------<someGPOsomittedforsecurityreasons>AuditPolicy------------N/AUserRights-----------N/ASecurityOptions----------------<someGPOsomittedforsecurityreasons>EventLogSettings------------------N/ARestrictedGroups-----------------N/ASystemServices---------------N/ARegistrySettings-----------------N/AFileSystemSettings--------------------N/APublicKeyPolicies-------------------N/AAdministrativeTemplates------------------------<someGPOsomittedforsecurityreasons>GPO:DisableDynamicDNSUpdatesFolderId:SOFTWARE\Policies\Microsoft\WindowsNT\DNSClient\RegistrationEnabledValue:0,0,0,0State:Enabled<someGPOsomittedforsecurityreasons>Achavederegistroemquestãofoiatualizada,comopodeservistonestacapturadetela:
Então, o que estou perdendo?
Parece que eu estava fazendo tudo corretamente, exceto que a reinicialização era necessária para impedir que essas mensagens ocorressem, como sugeriu @Brian em um comentário.
Eu apenas esperarei até a próxima janela de patches, o que significa que os servidores serão reinicializados de qualquer maneira, já que isso não é um problema crítico. Espero então que esta mensagem seja perdida em todos os servidores.