Назад | Перейти на главную страницу

Отключение динамических обновлений DNS с помощью групповой политики

Я администрирую систему, которая по независящим от меня причинам имеет несвязанное пространство имен DNS. Мне это не нравится, но это так, и я не могу это изменить. Причина в том, что серверы должны сосуществовать с уже существующей инфраструктурой DNS.

Домен Windows называется примерно так: ad.example.com с именем AD в NETBIOS. Однако все DNS-серверы имеют основной DNS-суффикс, установленный либо на «example.com», либо на «sub.example.com», в зависимости от того, где они находятся в сети. Я настроил атрибут msDS-AllowedDNSSuffixes в домене в соответствии с Создание статьи о несвязанном пространстве имен на Technet.

DNS для домена ad.example.com выполняется на двух контроллерах домена в среде, а DNS для домена example.com и sub.example.com выполняется на других DNS-серверах сторонних производителей.

В этой среде DNS управляется вручную, а не зависит от регистрации и обновлений динамического DNS.


Среда работает нормально, за исключением некоторых досадных предупреждений об ошибках, которые появляются в журналах событий и выглядят следующим образом:

The system failed to register host (A or AAAA) resource records (RRs) for
network adapter with settings:

Adapter Name : <censored>
Host Name : <censored>
Primary Domain Suffix : sub.example.com
DNS server list :
<censored> (These are the domain controllers for ad.example.com)
Sent update to server : <?>
IP Address(es) :
<censored> (This is the IP address of the host in question)

The reason the system could not register these RRs was because of a security related
problem. The cause of this could be (a) your computer does not have permissions
to register and update the specific DNS domain name set for this adapter, or 
(b) there might have been a problem negotiating valid credentials with the DNS
server during the processing of the update request.

You can manually retry DNS registration of the network adapter and its settings
by typing 'ipconfig /registerdns' at the command prompt. If problems still persist,
contact your DNS server or network systems administrator. See event details for
specific error code information.

Ошибки появляются в системном журнале с источником «События клиента DNS» на уровне предупреждения с идентификатором события 8015.

При сниффинге пакетов выясняется, что окна Windows выполняют обновления динамического DNS для авторитетного DNS-сервера sub.example.com, который не поддерживает динамические обновления (и мы не хотим их включать).


Поэтому мы поставили перед собой задачу отключить динамическое обновление DNS с помощью групповой политики.

В пятницу я создал групповую политику и связал ее с верхней частью домена, как показано на скриншоте ниже:

Для политики Конфигурация компьютера / Политики / Административные шаблоны / Сеть / DNS-клиент / Динамические обновления установлено значение Отключить.

Однако даже через несколько дней (достаточно времени для репликации групповой политики и ее применения к серверам) эти события продолжают появляться в журналах.

Я подтвердил с помощью GPRESULT, что политика действительно была применена на рассматриваемом сервере.

Выход gpresult /scope Computer /v находится здесь ниже (некоторые нерелевантные данные удалены в целях анонимности):

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
© 2013 Microsoft Corporation. All rights reserved.

Created on 2015-10-05 at 15:06:54



RSOP data for AD\ad79632 on BESTLA : Logging Mode
--------------------------------------------------

OS Configuration:            Member Server
OS Version:                  6.3.9600
Site Name:                   Example
Roaming Profile:             N/A
Local Profile:               C:\Users\ad79632
Connected over a slow link?: No


COMPUTER SETTINGS
------------------
    CN=BESTLA,OU=Servers,OU=Computers,OU=SHEM,DC=ad,DC=example,DC=com
    Last time Group Policy was applied: 2015-10-05 at 14:09:58
    Group Policy was applied from:      dc02.example.com
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        AD
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
<some GPOs omitted for security reasons>
        Disable Dynamic DNS Updates

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Users
        RDS Endpoint Servers
        RDS Management Servers
        RDS Remote Access Servers
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        BESTLA$
        Day-active Computers
        Domain Computers
        Authentication authority asserted identity
        System Mandatory Level

    Resultant Set Of Policies for Computer
    ---------------------------------------

        Software Installations
        ----------------------
            N/A

        Startup Scripts
        ---------------
            N/A

        Shutdown Scripts
        ----------------
            N/A

        Account Policies
        ----------------
<some GPOs omitted for security reasons>

        Audit Policy
        ------------
            N/A

        User Rights
        -----------
            N/A

        Security Options
        ----------------
<some GPOs omitted for security reasons>

        Event Log Settings
        ------------------
            N/A

        Restricted Groups
        -----------------
            N/A

        System Services
        ---------------
            N/A

        Registry Settings
        -----------------
            N/A

        File System Settings
        --------------------
            N/A

        Public Key Policies
        -------------------
            N/A

        Administrative Templates
        ------------------------
<some GPOs omitted for security reasons>
            GPO: Disable Dynamic DNS Updates
                Folder Id: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\RegistrationEnabled
                Value:       0, 0, 0, 0
                State:       Enabled
<some GPOs omitted for security reasons>

Рассматриваемый раздел реестра действительно был обновлен, как видно на этом снимке экрана:

Итак, что мне не хватает?

Похоже, что я делал все правильно, за исключением того, что была необходима перезагрузка, чтобы эти сообщения не появлялись, как предложил @Brian в комментарии.

Я просто подожду до следующего окна патча, что в любом случае будет означать перезагрузку серверов, поскольку это не критическая проблема. Затем я ожидаю, что это сообщение исчезнет на всех серверах.