在将 Windows Server 2003 Active Directory 域升级到 Server 2008,并将客户端 PC 从 Windows XP 升级到 Windows 7 之后,我看到动态 DNS 更新行为不一致。
两个域控制器还具有 DHCP 和 DNS 角色。每个 DHCP 服务器都有一个“DNS 动态更新注册凭据”设置,其中填充了一个用户帐户,该用户帐户是“DnsUpdateProxy”组的成员,并且(尽管我已经看到了支持和反对的论点)我已经将服务器本身添加到“DnsUpdateProxy”组。
DHCP 服务器配置为勾选以下设置:
'根据以下设置启用 DNS 动态更新' '始终动态更新 DNS A 和 PTR 记录' '删除租约时丢弃 A 和 PTR 记录'
有些电脑似乎工作正常。他们请求一个 DHCP 地址,DHCP 服务器给他们一个并更新 DNS。如果我检查通过动态更新创建的“A”记录的安全性,则该记录由为 DNS 动态更新注册创建并填充到 DHCP 服务器中的帐户所有。
另一方面,一些 PC 似乎直接向 DNS 服务器注册了自己的“A”记录。这会导致“系统”或 PC 的 AD 计算机帐户拥有“A”记录。发生这种情况时,由于其安全设置,DHCP 服务器将无法写入“A”记录。
我能想到的唯一方法是将区域的完全控制权交给 DHCP 服务器用来动态更新 DHCP 服务器的帐户。这将允许它删除/修改任何“A”记录,即使是它尚未创建的记录。
更好的方法是弄清楚为什么 PC 有时会注册“A”记录而不是 DHCP 服务器。
如果有人以前遇到过这个问题,我真的很感激一些建议。
我相信你想要做的只是告诉你所有的 DHCP 客户端不要在 AD 中注册他们自己的 DNS 记录。动态更新GPO在每台计算机上控制此行为;当它被禁用时,每个连接的“在 DNS 中注册此连接的地址”选项无效,并且不会发生动态注册,让 DHCP 服务器处理它而不受干扰。您应该只在应该是 DHCP 客户端的计算机上设置此 GPO。
如果您觉得它有用,这里是适用于 Windows DNS 客户端的 GPO 参考。
您将在 DNS 设置中的管理模板和网络下的计算机范围内找到此特定 GPO。将动态更新策略设置为禁用,等待 GPO 应用,该行为应该停止。
使用 DNS 记录需要注意的是,它们不是每次都重新创建的。当客户端取消注册时,该记录被标记为 dnsTombstoned。该记录仍然存在,但在 DNS 管理器中不可见。当客户端更新时,之前的 DNS 记录会重新设置动画。如果您发现问题记录,您可能需要确定在使用 ADSIEDIT 删除 DNS 记录对象(如果您有多个 DC/DNS 服务器时复制)并且客户端更新并创建新记录时是否出现症状,而不是重新动画现有记录。所有者可能只是墓碑记录上的现有所有者。
在 ADSIEDIT 中,您可以打开 Configuration Naming Context,选择 Partitions,然后在右侧窗格中,右键单击 DomainDNSZones 分区并选择 New Connection To Naming Context,然后向下钻取到 MicrosoftDNS 以查看该区域的记录。