所以我们是大学校园,在 DNS Manager 中,所有学生的电话、桌子等都在 DNS 中注册他们的 A 记录。我们不希望他们这样做。理想情况下,我们只需让加入域的设备注册/更新其 DNS 记录。
我们做了以下事情:
- DNS:右键单击 fwd 查找区域中的域 > 属性 > 将“动态更新”更改为“仅安全”。(以前是“不安全且安全的”)
- DHCP:右键单击相应的 DHCP 范围 > 属性 > DNS 选项卡 > 取消选中“根据以下设置启用 DNS 动态更新”
- DNS:从学生子网删除所有记录(从每个 DNS 服务器)
似乎它工作了一段时间,但每隔一小时,一小时,我开始看到旧记录重新填充 Windows DNS 管理器。
我们缺少什么?对此的主要推动力是,我们遇到了 DNS 抢注问题,其中学生手机的主机名与我们的一台服务器相同,这会阻止最终用户通过 DNS 名称访问该服务器。临时缓解措施是为其创建一个 CNAME,因为看起来动态更新不会更新 CNAME,但理想情况下,我们希望阻止所有未加入域的设备在 DNS 中注册。
提前致谢。
您应该/需要做的其他事情是在 DC\DNS 服务器之一和 DNS 区域上配置清理。这将自动清理旧的、陈旧的 A 记录。请注意,您只需在其中一台 DC/DNS 服务器上启用清理,因为 AD 区域已集成,DNS 区域将被复制到所有其他 DC\DNS 服务器,因此您所做的任何更改都将作为 AD 复制的一部分复制到所有其他 DC\DNS 服务器。无需在多个 DC\DNS 服务器上启用清理,这样做没有帮助。
另请注意,由于 DNS 区域是 AD 集成的,因此您执行的任何手动清理只需在一台 DC\DNS 服务器上完成。同样,由于该区域是 AD 集成的,因此您在一台 DC\DNS 服务器上清理的任何 DNS 记录都将复制到所有其他 DC\DNS 服务器。
在完成我在评论中提到的操作后,今天早上检查,只有来自加入域的工作站的学生子网的 DNS 更新。没有来自手机、平板电脑、个人设备等的 DNS 更新。
回顾一下,我们做了以下事情:
但是,除此之外,我们还做了以下事情:
完成前三项后,我们按 Lease Expiration 对 DHCP 租约进行排序。这显示了新的租约。然后,我们检查了 DNS,发现任何明显属于非域设备的新租约(users-iphone.domain.com、bigdicksipad.domain.com [yup...college students...])都不是动态更新 DNS .
所以我们采取的前三个行动中的前两个确实有效。我们遇到的问题是,在一小时后大约 15 分钟后,每小时,来自学生子网的 1400 条新 DNS 记录被重新填充到 DNS 中,这是我们无法弄清楚的。
一时兴起,我们注意到新的有效租约记录的所有者是设备本身 (domainworkstation01$),但更新或旧租约记录由 DHCP 服务器本身或评论中提到的处理动态 dns 更新的域帐户拥有上面(DHCP > 服务器 > IPv4(右键单击 > 属性)> 高级 > 凭据...),或 SYSTEM。
虽然这些租约很好,并且最终会在到期后消失,但我们发现,当它们在 DHCP 中时,DHCP 会根据这些创建记录。然后我们所做的是删除学生子网范围内 DHCP 中的所有 DHCP 租约记录,然后删除 DNS 记录。
今天早上检查后,我可以看到只有加入域的设备在这些学生子网(工作人员连接到它们)上有 DNS 记录。
唷。
谢谢各位的意见。