Atualizações dinâmicas de DNS do AD não acionadas em clientes

Navegue suas respostas
1

O problema

Recentemente, os computadores da nossa organização mudaram para um novo domínio do AD devido a uma fusão. Estamos tendo problemas para fazer com que os clientes registrem dinamicamente seus registros DNS em nosso DNS integrado ao AD.

Quando um registro é acionado manualmente no cliente (ipconfig / registerdns), tudo funciona bem. Você pode ver o processo de registro acontecendo no wireshark, conforme descrito aqui: link

Apenas cerca de 50% dos clientes parecem estar fazendo isso sozinhos. Na outra metade, esse processo não parece desencadear. Mesmo que os eventos mencionados no artigo acima (por exemplo, na inicialização) façam com que o cliente registre seu registro A com o servidor DNS.

Eu tenho o tcpdump constantemente capturando tráfego de um grupo de desktops que estão exibindo esse problema. Nestes dumps, não consigo encontrar tentativas de registro para os computadores afetados.

Algumas observações sobre o nosso ambiente

  • Os clientes estão obtendo seus endereços DHCP de dois servidores DHCP no domínio antigo.
  • Os servidores DNS que os clientes são instruídos a usar (opção 006) também são os antigos controladores de domínio. Mas as solicitações de DNS para o novo domínio são encaminhadas para os novos controladores de domínio usando o encaminhamento condicional.
  • Para o novo domínio, as atualizações são permitidas. (Apenas seguro)
  • O sufixo de conexão fornecido pelo DHCP (opção 015) ainda é o domínio antigo. Mas temos uma lista de sufixos implantados por meio de um GPO, com o novo sufixo de domínio em primeiro lugar na lista.
  • O novo domínio do AD tem três controladores de domínio, dois dos quais também são servidores DNS.

Algo que tentamos

Para um dos escopos DHCP, definimos o sufixo de conexão para o novo domínio e os servidores DNS para os novos controladores de domínio. Isso não parece fazer diferença.

Este parece ser um post interessante sobre o assunto: link Mas a maioria das coisas mencionadas lá estão em ordem. Exceto pelo fato de que o IPv6 está desativado nos novos controladores de domínio.

Mais informações em resposta à resposta de Craig620

  • Os servidores DNS estão executando o Windows Server 2012 R2, os clientes são todos do Windows 7, os servidores DHCP estão executando o servidor 2008 R2.
  • Todos os clientes ingressaram no mesmo domínio (novo domínio desde a fusão), os problemas ocorrem apenas neste domínio.
  • Não há clientes com endereços IP estáticos.
  • Não estamos no processo de mover clientes do antigo para o novo domínio. Fizemos isso com alguns clientes, mas os computadores que estão com problemas não foram movidos. Eles foram implantados usando o SCCM no novo domínio.
  • Não consigo encontrar diferenças significativas entre os 50% que estão tendo problemas e outros sistemas. Por exemplo: alguns computadores na mesma sala de aula estão com problemas, outros não. Eles geralmente estão executando o mesmo software, atualizações, etc. E estão conectados à mesma parte da rede. O mesmo hardware também. A diferença que consigo pensar é que eles estão tentando entrar em contato com outro controlador de domínio, mas não vejo nenhuma tentativa de fazer isso.
  • O problema vem acontecendo há semanas, então os computadores deveriam ter tido tempo suficiente para se registrarem.
  • Os clientes não parecem consultar a zona SOA. Os nomes de zona para o domínio antigo e novo não são semelhantes. (por exemplo, green.local para o domínio antigo e int.blue.com para o novo)
  • Eu tenho um GPO em vigor para a lista de pesquisa de sufixos DNS. Esta é uma lista contendo o novo domínio AD em primeiro lugar, seguida pelos domínios legados das diferentes organizações de fusão. Esse é o único GPO relacionado ao DNS. Mas vou verificar isso mais detalhadamente.
por Omnomnomnom 14.01.2016 / 11:26

3 respostas

0

Eu resolvi isso usando a seguinte configuração de GPO:

Configuração do computador - > Políticas - > Modelos Administrativos - > Rede - > Cliente DNS - > Atualização dinâmica - > Ativado

O que é estranho, já que o comportamento quando não configurado está habilitado. Eu verifiquei duas vezes e não temos outras políticas de grupo ativas em relação ao DNS, exceto para a lista de pesquisa de sufixos.

    
por 08.02.2016 / 14:27
0

Eu suspeito que ele pode vir de um sufixo primário DNS mal configurado nas estações de trabalho (ou um sufixo DNS configurado em uma conexão de rede). Só para esclarecer, não estou falando sobre o sufixo de busca.

Você poderia confirmar se essas duas propriedades estão corretas em um cliente?

  • Sistema - > Nome do computador - > Alterar configurações - > Alterar ... - > Mais ... - > Sufixo DNS primário deste computador
  • Iniciar - > RUn - > ncpla.cpl - > Propriedades da conexão de rede padrão - > TCP / IPv4 - > Avançado - > Separador DNS - > Sufixo DNS para esta conexão:
por 15.01.2016 / 17:31
0

Muitos incógnitas para um comentário ...
Qual versão do sistema operacional são os servidores DNS? os clientes?
Todos os clientes com falha pertencem a um domínio ou os domínios cruzados são problemáticos?
O problema também ocorre em máquinas com endereços estáticos?
Você está no processo de mover clientes do oldDom para o newDom?
O que mais é exclusivo sobre 50% dos clientes que não têm registros DNS?
Os clientes só registram o DDNS uma vez por 24 horas. Se você está apenas esperando que isso aconteça, seja paciente ...
As ações de DDNS primeiro consultam a zona SOA (início da autoridade). Os nomes das zonas são diferentes (green.com, blue.com) ou similares (green.com, grass.green.com, frog.green.com)? Se similar, você tem uma configuração de delegação de zona? O registro falhará se não for enviado para o servidor DNS correto e você tiver namespaces semelhantes sem uma delegação de zona. Você tem algum GPO relacionado ao DNS? Existe uma opção de GPO para desativar o registro do DNS dinâmico. Isso geralmente é usado quando o servidor DHCP é configurado para registrar nomes DNS em nome dos clientes para os quais ele envia endereços.

Edite 1/16

Por que os clientes da newDom ainda estão sendo atendidos pelos servidores DHCP no oldDom, obtendo opções de DHCP com o sufixo oldDom e sendo instruídos a usar o oldDom DC para a resolução de DNS? Isso tudo poderia funcionar, mas também adiciona complexidade que poderia levar a problemas. Mesmo se você tiver um motivo, tente fazer um teste em uma pequena base de clientes com um novo servidor DHCP em newDom que não faça referência ao oldDom de qualquer forma (sufixos, resolvedores de DNS, etc.).

Você pode responder à pergunta de Jeremy Gibbons sobre a opção DHCP 81?

Algumas coisas que você pode tentar ajudar a diminuir a fonte do problema. Faça cada um em uma pequena amostra (digamos 6-10) máquinas diferentes:

  1. Reduza um do seu escopo DHCP por 6 a 10 endereços, exclua registros DNS dessas 6 a 10 máquinas e atribua estática a essas máquinas.

  2. Exclua os registros de DNS de diferentes 6 a 10 computadores, mova-os para uma UO em que não haja políticas de grupo aplicadas.

Se o problema não for reproduzido para o primeiro grupo de clientes, o problema provavelmente está relacionado ao DHCP. Se o problema não for reproduzido para o segundo grupo de clientes, o problema provavelmente está relacionado ao GPO.

Edite 1/27

Tente ativar ambos os registros de eventos:

  • "Eventos do cliente Microsoft-Windows-DNS / operacionais"
  • "Eventos do Cliente Microsoft-Windows-DHCP / Operacional"

Acredite ou não, o registro DNS dinâmico é realmente executado pelo serviço do cliente DHCP. Invoque "ipconfig / registerdns". Analise cada um desses registros para algo que parece fora do lugar. É assim que um registro de sucesso se parece: 

Log Name:      Microsoft-Windows-Dhcp-Client/Operational
Source:        Microsoft-Windows-Dhcp-Client
Date:          1/27/2016 8:42:01 AM
Event ID:      50042
Task Category: DNS State Event
Level:         Information
Keywords:      
User:          LOCAL SERVICE
Computer:      dns1.acme.local.com
Description:
Dns registration has happened for the adapter 12. Status Code is 0x0. DNS Flag settings is 10.

    
por 14.01.2016 / 20:28

Tags

Não é possível enviar o endereço de e-mail para o endereço de e-mail do Office 365 Migrando o Microsoft CRM 2011 - hospedado em in-house