Итак, мы - университетский городок, и в диспетчере DNS все телефоны студентов, столы и т. д. регистрируют свои записи A в DNS. Мы этого не хотим. В идеале у нас были бы просто подключенные к домену устройства, регистрирующие / обновляющие свои записи DNS.
Мы сделали следующее:
Некоторое время казалось, что это работает, но затем каждый час, каждый час, я начинаю видеть, как старые записи повторно заполняют Windows DNS Manager.
Что нам не хватает? Основным толчком для этого была проблема с DNS-приседанием, когда имя хоста телефона студента совпадало с именем одного из наших серверов, что не позволяло конечным пользователям получить доступ к этому серверу через DNS-имя. Временное смягчение последствий заключалось в создании для него CNAME, поскольку, похоже, динамические обновления не обновляют CNAME, но в идеале мы хотели бы предотвратить регистрацию всех устройств, не присоединенных к домену, в DNS.
Заранее спасибо.
Еще кое-что, что вам следует сделать / нужно сделать, - это настроить очистку на одном из серверов DC \ DNS и в зоне (ах) DNS. Это автоматически очистит старые устаревшие записи A. Обратите внимание, что вам нужно включить очистку только на одном из ваших серверов DC / DNS, поскольку зона AD интегрирована, зона DNS будет реплицирована на все другие серверы DC \ DNS, поэтому любые внесенные вами изменения будут реплицированы как часть репликации AD на все остальные DC \ DNS серверы. Нет необходимости включать очистку более чем на одном DC \ DNS-сервере, и это бесполезно.
Также обратите внимание, что, поскольку зона DNS интегрирована в AD, любая выполняемая вручную очистка должна выполняться только на одном DC \ DNS-сервере. Опять же, поскольку зона интегрирована в AD, любые записи DNS, которые вы очищаете на одном сервере DC \ DNS, будут реплицированы на все другие серверы DC \ DNS.
После того, как я сделал то, что я упомянул в комментариях, проверив сегодня утром, есть только обновления DNS из подсетей учащихся с рабочих станций, которые присоединены к домену. Нет обновлений DNS с телефонов, планшетов, личных устройств и т. Д.
Итак, мы сделали следующее:
Но, помимо всего этого, мы также сделали следующее:
После выполнения первых трех пунктов мы отсортировали аренду DHCP по истечению срока аренды. Это показали новые договоры аренды. Затем мы проверили DNS и увидели, что любые новые аренды, явно не относящиеся к домену (users-iphone.domain.com, bigdicksipad.domain.com [да ... студенты колледжа ...]), НЕ были динамически обновляющими DNS .
Итак, первые два из первых трех действий, которые мы предприняли, действительно сработали. Проблема, с которой мы столкнулись, заключалась в том, что примерно через 15 минут после часа, каждый час, 1400 новых записей DNS из студенческих подсетей повторно заполнялись в DNS, и ЭТО то, чего мы не могли понять.
По прихоти мы заметили, что владельцами НОВЫХ действительных записей аренды были сами устройства (domainworkstation01 $), но ОБНОВЛЕННЫЕ или СТАРЫЕ записи аренды принадлежали либо самому DHCP-серверу, либо учетной записи домена, обрабатывающей динамические обновления DNS, упомянутым в комментарии выше (DHCP> Сервер> IPv4 (щелкните правой кнопкой мыши> Свойства)> Дополнительно> Учетные данные ...) или SYSTEM.
Хотя с этими арендными договорами все в порядке и они в конечном итоге исчезнут по истечении срока действия, мы обнаружили, что, пока они были в DHCP, DHCP создавал записи на их основе. Затем мы удалили все записи об аренде DHCP в DHCP в областях подсети учащихся, а затем удалили записи DNS.
Проверив сегодня утром, я вижу, что только устройства, присоединенные к домену, имеют записи DNS в этих студенческих подсетях (сотрудники подключаются к ним).
Уф.
Спасибо всем за ваш вклад.