Comportamento de atualização de DNS dinâmico inconsistente

2

Depois de atualizar um domínio do Active Directory do Windows Server 2003 para o Server 2008 e de atualizar os PCs cliente do Windows XP para o Windows 7, vejo um comportamento de atualização de DNS dinâmico inconsistente.

Dois controladores de domínio também têm uma função DHCP e DNS. Cada servidor DHCP tem a configuração 'Credenciais de registro de atualizações dinâmicas de DNS' preenchida com uma conta de usuário que é membro do grupo 'DnsUpdateProxy' e (embora eu tenha visto argumentos a favor e contra) adicionei os próprios servidores ao Grupo 'DnsUpdateProxy'.

Os servidores DHCP são configurados com as seguintes configurações marcadas:

'Ativar atualizações dinâmicas de DNS de acordo com as configurações abaixo' 'Sempre atualizar dinamicamente os registros DNS A e PTR' 'Descartar registros A e PTR quando uma concessão for excluída'

Alguns PCs parecem funcionar bem. Eles solicitam um endereço DHCP e o servidor DHCP entrega um e atualiza o DNS. Se eu verificar a segurança do registro 'A' criado por meio da atualização dinâmica, o registro será de propriedade da conta criada para o registro de atualização dinâmica do DNS e preenchida no servidor DHCP.

Alguns PCs, por outro lado, parecem registrar seus próprios registros 'A' diretamente com o servidor DNS. Isso resulta em um registro 'A' de propriedade de 'sistema' ou da conta de computador AD do computador. Quando isso acontece, o registro 'A' torna-se não gravável pelo servidor DHCP devido às suas configurações de segurança.

A única maneira de pensar nisso é dar controle total da zona à conta usada pelo servidor DHCP para atualizar dinamicamente o servidor DHCP. Isso permitiria que ele excluísse / modificasse qualquer registro 'A', mesmo aqueles que ele não criou.

A melhor maneira seria descobrir por que os PCs às vezes registram registros 'A' em vez do servidor DHCP.

Eu realmente aprecio alguns conselhos se alguém já se deparou com isso antes.

    
por leftcase 04.09.2013 / 11:24

2 respostas

1

Eu acredito que o que você está querendo fazer é simplesmente dizer a todos os seus clientes DHCP para não registrar seus próprios registros DNS no AD. O atualização dinâmica GPO controla esse comportamento em uma base por computador; quando está desabilitado, a opção "registrar o endereço desta conexão no DNS" por conexão não tem efeito e o registro dinâmico não ocorre, deixando o servidor DHCP para cuidar dele sem interferência. Você deve definir esse GPO apenas em computadores que devem ser clientes DHCP.

Se você achar útil, aqui está uma referência para os GPOs que se aplicam para o cliente DNS do Windows .

Você encontrará este GPO específico no escopo do computador, em modelos administrativos e rede, nas configurações de DNS. Defina a política de atualização dinâmica como desativada, aguarde a aplicação do GPO e o comportamento deve parar.

    
por 04.09.2013 / 11:37
0

Algo para estar ciente com registros DNS é que eles não são recriados todas as vezes. Quando um cliente cancela o registro, o registro é marcado como dnsTombstoned. O registro ainda existe, mas não é visível no Gerenciador de DNS. Quando o cliente renova, o registro DNS anterior é novamente animado. Se você encontrar um registro de problema, convém determinar se o sintoma ocorre quando o objeto de registro DNS é removido usando ADSIEDIT (e replicado se você tiver vários servidores de DC / DNS) e o cliente renova e cria um novo registro, em vez de re-animando o registro existente. É possível que o proprietário seja apenas o proprietário existente no registro marcado para exclusão.

No ADSIEDIT, você pode abrir o Contexto de Nomenclatura da Configuração, selecionar Partições e, no painel direito, clicar com o botão direito do mouse na partição DomainDNSZones e selecionar Nova Conexão ao Contexto de Nomenclatura, em seguida, fazer drill down no MicrosoftDNS para visualizar os registros do zona.

    
por 04.09.2013 / 16:39