После обновления домена Active Directory Windows Server 2003 до Server 2008 и обновления клиентских компьютеров с Windows XP до Windows 7 я наблюдаю несогласованное поведение динамического обновления DNS.
Два контроллера домена также имеют роль DHCP и DNS. Каждый DHCP-сервер имеет параметр «учетные данные для регистрации динамических обновлений DNS», заполненный учетной записью пользователя, которая является членом группы «DnsUpdateProxy», и (хотя я видел аргументы за и против) я добавил сами серверы в Группа DnsUpdateProxy.
Серверы DHCP настроены со следующими отмеченными настройками:
'Включить динамическое обновление DNS в соответствии с настройками ниже' Всегда динамически обновлять записи DNS A и PTR 'Удалять записи A и PTR при удалении аренды'
Некоторые ПК работают нормально. Они запрашивают адрес DHCP, и сервер DHCP передает им его и обновляет DNS. Если я проверю безопасность записи A, созданной посредством динамического обновления, запись принадлежит учетной записи, созданной для регистрации динамического обновления DNS и заполненной на сервере DHCP.
С другой стороны, некоторые ПК регистрируют свои собственные записи «А» непосредственно на DNS-сервере. В результате создается запись «А», принадлежащая либо «системе», либо учетной записи компьютера AD. Когда это происходит, запись «A» становится недоступной для записи сервером DHCP из-за его настроек безопасности.
Единственный способ обдумать это - предоставить полный контроль над зоной учетной записи, используемой DHCP-сервером для динамического обновления DHCP-сервера. Это позволило бы ему удалить / изменить любую запись A, даже те, которые он не создал.
Лучшим способом было бы выяснить, почему ПК иногда регистрируют записи A вместо DHCP-сервера.
Буду очень признателен за совет, если кто-нибудь сталкивался с этим раньше.
Я считаю, что вы хотите просто сказать всем своим DHCP-клиентам, чтобы они не регистрировали свои собственные записи DNS в AD. В динамическое обновление GPO управляет этим поведением для каждого компьютера; когда он отключен, опция «зарегистрировать адрес этого соединения в DNS» для каждого соединения не имеет никакого эффекта, и динамическая регистрация не происходит, оставляя DHCP-серверу заботиться об этом без помех. Вы должны устанавливать этот GPO только на компьютерах, которые должны быть DHCP-клиентами.
Если вы сочтете это полезным, вот ссылка на объекты групповой политики, которые применяются к клиенту Windows DNS.
Вы найдете этот конкретный объект групповой политики в области компьютера, в административных шаблонах и сети, в настройках DNS. Установите для политики динамического обновления значение отключено, дождитесь применения GPO, и поведение должно прекратиться.
Что нужно знать о записях DNS, так это то, что они не создаются заново каждый раз. Когда клиент отменяет регистрацию, запись помечается как dnsTombstoned. Запись все еще существует, но не отображается в диспетчере DNS. Когда клиент обновляется, предыдущая запись DNS повторно анимируется. Если вы обнаружите запись о проблеме, вы можете определить, возникает ли симптом, когда объект записи DNS удаляется с помощью ADSIEDIT (и реплицируется, если у вас есть несколько DC / DNS-серверов), а клиент обновляет и создает новую запись вместо реанимировать существующую запись. Возможно, что владельцем был просто существующий владелец, указанный в записи, надгробной памятником.
В ADSIEDIT вы можете открыть контекст именования конфигурации, выбрать разделы и на правой панели щелкнуть правой кнопкой мыши раздел DomainDNSZones и выбрать «Новое соединение с контекстом именования», затем перейти к MicrosoftDNS, чтобы просмотреть записи для зоны.