Назад | Перейти на главную страницу

DNS и DHCP не согласовывают IP-адрес

У меня проблема, когда наш контроллер домена Windows Server 2003 назначает моему компьютеру с Windows 7 один IP-адрес (x.x.x.75) через DHCP, но сообщает другой (x.x.x.84) через DNS. Это вызывает интересное поведение в сети. Если я изменю настройки адаптера, чтобы получить IP- и DNS-адреса от DHCP, я смогу получить доступ к Интернету, но никто в нашей сети не сможет получить доступ к моему компьютеру. Если я вручную изменю свой IP-адрес на то, что указано в DNS, я потеряю доступ в Интернет, но все снова смогут получить доступ к моему компьютеру.

Я знаю, что у нас есть несколько старых недействительных обратных указателей DNS (обратный поиск по IP-адресу часто дает более одного результата, обычно не включая тот, который правильный), так что это может способствовать, но моя проблема возникла недавно , а неверные обратные указатели существуют уже давно.

Что происходит, и как мне это исправить?

У вас есть Устаревание DNS и / или Очистка DNS правильно настроили? Как вы сами сказали, похоже, что на вашем контроллере домена висит слишком много старых записей DNS. Я предлагаю изучить настройку очистки DNS или, по крайней мере, удалить старую запись A (x.x.x.84), а затем продлить аренду DHCP вашей рабочей станции в целях тестирования.

Очистка DNS будет периодически удалять старые записи DNS, которые были динамически созданы, когда клиент получил аренду DHCP. Это хорошая вещь (TM). Записи DNS хороши (и полезны), только если они действительно свежие. Наличие кучи записей, указывающих на клиентов, которых больше нет, бесполезно.

Вы также можете проверить TTL аренды DHCP, чтобы убедиться, что он соответствующим образом соответствует вашему TTL DNS и политике «устаревания». Надуманный пример: если ваш TTL для аренды DHCP составляет 12 часов, а ваша политика устаревания DNS предусматривает хранение записей в течение трех недель, вы просто создаете себе проблемы.

Ранее упомянутые блог технет пост - хорошее место для начала.

Ваша проблема, как уже говорилось, заключается в том, что DNS-поиск имени → адреса для вашего компьютера приводит к получению IP-адреса, отличного от того, который на самом деле имеет компьютер. Это не имеет ничего общего с PTR записи ресурсов, которые не участвуют в поиске имени → адреса DNS. (Они используются для поиска адреса → имени.) Очистка вашего PTR записи не помогут решить вашу проблему.

Что решит вашу проблему, так это выяснение, почему поиск DNS по имени → адреса неверен. Поскольку вы используете DHCP, ваша база данных DNS должна динамически обновляться с указанием имени → карты адресов, поскольку DHCP-сервер выдает аренду. Для достижения наилучших результатов можно настроить свой DHCP-сервер на прямую связь с DNS-сервером, при этом первый отправляет обновления второму по мере предоставления и продления аренды. Только DHCP-серверу необходимы разрешения безопасности для изменения данных DNS посредством динамического обновления.

Но у некоторых есть свой DHCP клиенты сделай это. В этом случае можно столкнуться с различными проблемами с разрешениями, такими как DHCP-клиенты, не имеющие соответствующих разрешений на обновление, или неспособность обновлять записи в базе данных, к которым у них нет прав доступа, или возможность взлома специального использования доменные имена, на которые они не должны претендовать. Существуют также различные проблемы с суффиксами доменных имен, которые могут поднять голову.

Итак, выясните, отправляет ли ваш DHCP-сервер или ваши DHCP-клиенты обновления на (контентный) DNS-сервер. Убедитесь, что средства управления доступом позволяют делать это независимо от того, кто выполняет обновления, убедитесь, что сервер получает трафик обновлений, убедитесь, что соответствующие части пространства имен обновляются, убедитесь, что все ваши DNS-серверы рекламируемого контента могут действительно обновлять базу данных DNS и убедитесь, что обновления заканчиваются правильными доменными именами.