将 Windows Server 2003 Active Directory 域升级到 Server 2008,并将客户端 PC 从 Windows XP 升级到 Windows 7 后,我发现动态 DNS 更新行为不一致。
两个域控制器还具有 DHCP 和 DNS 角色。每个 DHCP 服务器都具有“DNS 动态更新注册凭据”设置,该设置由属于“DnsUpdateProxy”组的用户帐户填充,并且(尽管我看到了赞成和反对的论点)我已将服务器本身添加到“DnsUpdateProxy”组。
DHCP 服务器配置如下,并勾选以下设置:
‘根据以下设置启用 DNS 动态更新’ ‘始终动态更新 DNS A 和 PTR 记录’ ‘删除租约时丢弃 A 和 PTR 记录’
有些 PC 似乎运行正常。它们请求 DHCP 地址,DHCP 服务器会向它们提供地址并更新 DNS。如果我检查通过动态更新创建的“A”记录的安全性,则该记录归为 DNS 动态更新注册创建的帐户所有,并填充在 DHCP 服务器中。
另一方面,有些 PC 似乎直接向 DNS 服务器注册自己的“A”记录。这会导致“A”记录归“系统”或 PC 的 AD 计算机帐户所有。发生这种情况时,由于 DHCP 服务器的安全设置,DHCP 服务器无法写入“A”记录。
我能想到的唯一解决方法是将区域的完全控制权交给 DHCP 服务器使用的帐户,以动态更新 DHCP 服务器。这样它就可以删除/修改任何“A”记录,即使是它没有创建的记录。
更好的方法是弄清楚为什么 PC 有时会注册“A”记录而不是 DHCP 服务器。
如果有人曾经遇到过这种情况,我将非常感激一些建议。
答案1
我相信您想要做的只是告诉所有 DHCP 客户端不要在 AD 中注册自己的 DNS 记录。动态更新GPO 以每台计算机为基础控制此行为;禁用时,每个连接的“在 DNS 中注册此连接的地址”选项无效,并且不会发生动态注册,让 DHCP 服务器不受干扰地处理它。您应该只在应为 DHCP 客户端的计算机上设置此 GPO。
如果你觉得有用,以下是适用于 Windows DNS 客户端的 GPO 参考。
您将在计算机范围内的管理模板和网络下的 DNS 设置中找到此特定 GPO。将动态更新策略设置为禁用,等待 GPO 应用,然后该行为应该会停止。
答案2
关于 DNS 记录需要注意的是,它们并不是每次都重新创建。当客户端取消注册时,记录将被标记为 dnsTombstoned。记录仍然存在,但在 DNS 管理器中不可见。当客户端续订时,以前的 DNS 记录将重新激活。如果您发现问题记录,您可能希望确定症状是否在使用 ADSIEDIT 删除 DNS 记录对象(如果您有多个 DC/DNS 服务器,则进行复制)时发生,并且客户端续订并创建新记录,而不是重新激活现有记录。所有者可能只是墓碑记录上的现有所有者。
在 ADSIEDIT 中,您可以打开配置命名上下文,选择分区,然后在右侧窗格中右键单击 DomainDNSZones 分区并选择新建到命名上下文的连接,然后深入到 MicrosoftDNS 以查看该区域的记录。