主页 / server / 问题 / 749045
Accepted
Omnomnomnom
Asked: 2016-01-15 02:26:24 +0800 CST

AD 动态 DNS 更新未在客户端上触发

  • 772

问题

最近,由于合并,我们组织的计算机转移到了一个新的 AD 域。我们在让客户端在我们的 AD 集成 DNS 中动态注册其 DNS 记录时遇到问题。

当在客户端(ipconfig /registerdns)上手动触发注册时,一切正常。您可以看到在wireshark中发生的注册过程,如下所述:https ://technet.microsoft.com/en-us/library/cc771255.aspx

然而,似乎只有大约 50% 的客户自己这样做。另一方面,这个过程似乎没有触发。即使上述文章中提到的事件(例如启动时)应该会导致客户端向 DNS 服务器注册其 A 记录。

我有 tcpdump 不断从一组出现此问题的桌面捕获流量。在这些转储中,我找不到受影响计算机的任何注册尝试。

关于我们环境的一些注意事项

  • 客户端从旧域中的两个 DHCP 服务器获取它们的 DHCP 地址。
  • 客户端被告知使用的 DNS 服务器(选项 006)也是旧的域控制器。但是新域的 DNS 请求使用条件转发转发到新的 DC。
  • 对于新域,允许更新。(仅限安全)
  • DHCP 提供的连接后缀(选项 015)仍然是旧域。但是我们有一个通过 GPO 部署的后缀列表,新域后缀位于列表的首位。
  • 新的 AD 域有三个域控制器,其中两个也是 DNS 服务器。

我们尝试过的东西

对于其中一个 DHCP 范围,我们将连接后缀设置为新域,并将 DNS 服务器设置为新域控制器。这似乎没有什么不同。

这似乎是一篇关于这个主题的有趣帖子:http: //blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns-updates-registration-rules-of-engagement/ 但大多数事情提到有顺序。除了在新域控制器上禁用 IPv6 的事实。

更多信息以回应 Craig620 的回答

  • DNS 服务器运行的是 Windows server 2012 R2,客户端都是 Windows 7,DHCP 服务器运行的是 server 2008 R2。
  • 所有客户端都加入同一个域(合并后的新域),问题仅发生在该域中。
  • 没有具有静态 IP 地址的客户端。
  • 我们没有将客户从旧域转移到新域的过程中。我们对一些客户进行了此操作,但有问题的计算机没有移动。它们已在新域中使用 SCCM 进行部署。
  • 我找不到有问题的 50% 和其他系统之间的显着差异。例如:同一个教室里的一些电脑有问题,其他的没有。它们通常运行相同的软件、更新等。并且连接到网络的同一部分。硬件也一样。我能想到的区别是他们正在尝试联系另一个域控制器,但我看不到任何这样做的尝试。
  • 这个问题已经持续了几个星期,所以计算机应该有足够的时间来注册自己。
  • 客户端似乎没有查询区域 SOA。旧域和新域的区域名称不相似。(例如,旧域的 green.local 和新域的 int.blue.com)
  • 我有一个用于 DNS 后缀搜索列表的 GPO。这是一个列表,首先包含新的 AD 域,然后是不同合并组织的旧域。这是唯一与 DNS 相关的 GPO。但我会更彻底地检查这一点。
domain-name-system

3 个回答

  1. 太多未知数无法评论...
    DNS 服务器是什么版本的操作系统?客户?
    失败的客户端都属于一个域,还是问题跨域?
    问题是否也会出现在具有静态地址的机器上?
    您是否正在将客户从 oldDom 转移到 newDom?
    50% 没有 DNS 记录的客户端还有什么独特之处?
    客户每 24 小时只注册一次 DDNS。如果您只是在等待它发生,请耐心等待...
    DDNS 操作首先查询区域 SOA(权限开始)。区域名称是不同的(green.com、blue.com)还是相似的(green.com、grass.green.com、frog.green.com)?如果类似,您是否有区域委派设置?如果没有将其发送到正确的 DNS 服务器并且您有类似的命名空间而没有区域委派,则注册将失败。
    您是否有任何与 DNS 相关的 GPO?有一个 GPO 选项可以禁用动态 DNS 注册。这通常在 DHCP 服务器配置为代表它为其分配地址的客户端注册 DNS 名称时使用。

    编辑 1/16

    为什么 newDom 中的客户端仍然由 oldDom 中的 DHCP 服务器提供服务,获取带有 oldDom 后缀的 DHCP 选项,并被告知使用 oldDom DC 进行 DNS 解析?这一切都可以奏效,但它也增加了可能导致问题的复杂性。即使您有理由,也请尝试在小型客户端上使用 newDom 中的新 DHCP 服务器进行测试,该服务器不会以任何方式(后缀、dns 解析器等)引用 oldDom。

    你能回答 Jeremy Gibbons 关于 DHCP 选项 81 的问题吗?

    您可以尝试几件事来帮助缩小问题的根源。在一个小样本(比如 6-10 个)不同的机器上做每一个:

    1. 将您的 DHCP 范围缩小 6-10 个地址,删除这 6-10 台机器的 DNS 记录,然后将静态分配给这些机器。

    2. 删除其他 6-10 台机器的 DNS 记录,将它们移动到没有应用组策略的 OU。

    如果第一组客户端没有重现问题,则问题可能与 DHCP 有关。
    如果第二组客户没有重现问题,则问题可能与 GPO 相关。

    编辑 1/27

    尝试启用这两个事件日志:

    • “Microsoft-Windows-DNS 客户端事件/操作”
    • “Microsoft-Windows-DHCP 客户端事件/操作”

    信不信由你,动态 DNS 注册实际上是由 DHCP 客户端服务执行的。调用“ipconfig /registerdns”。查看这些日志中的每一个,以查找看起来不合适的内容。这是成功注册的样子:

    Log Name:      Microsoft-Windows-Dhcp-Client/Operational
Source:        Microsoft-Windows-Dhcp-Client
Date:          1/27/2016 8:42:01 AM
Event ID:      50042
Task Category: DNS State Event
Level:         Information
Keywords:      
User:          LOCAL SERVICE
Computer:      dns1.acme.local.com
Description:
Dns registration has happened for the adapter 12. Status Code is 0x0. DNS Flag settings is 10.

    dns客户端

    • 0

  2. 我怀疑它可能来自工作站上配置错误的 DNS 主后缀(或网络连接上设置的 DNS 后缀)。只是为了澄清,我不是在谈论搜索后缀。

    您能否确认这两个属性在客户端上是正确的?

    • 系统 -> 计算机名 -> 更改设置 -> 更改... -> 更多... -> 此计算机的主 DNS 后缀
    • 开始 -> 运行 -> ncpla.cpl -> 默认网络连接的属性 -> TCP/IPv4 -> 高级 -> DNS 选项卡 -> 此连接的 DNS 后缀:
    • 0
  3. Best Answer

    我通过使用以下 GPO 设置解决了这个问题:

    计算机配置 -> 策略 -> 管理模板 -> 网络 -> DNS 客户端 -> 动态更新 -> 启用

    在此处输入图像描述 这很奇怪,因为未配置时的行为已启用。我仔细检查过,除了后缀搜索列表外,我们没有任何其他关于 DNS 的有效组策略。

    • 0

相关问题