AD 动态 DNS 更新未在客户端上触发

tag-icon tag-icon domain-name-system active-directory domain-controller dynamic-dns
AD 动态 DNS 更新未在客户端上触发

问题

最近,由于合并,我们组织的计算机移至了新的 AD 域。我们在让客户端动态注册 AD 集成 DNS 中的 DNS 记录时遇到了问题。

当在客户端上手动触发注册(ipconfig /registerdns)时,一切正常。您可以在 wireshark 中看到注册过程,如下所述:https://technet.microsoft.com/en-us/library/cc771255.aspx

然而,只有大约 50% 的客户端似乎会自行执行此操作。另一半似乎不会触发此过程。尽管上述文章中提到的事件(例如启动时)应该会导致客户端向 DNS 服务器注册其 A 记录。

我使用 tcpdump 不断捕获出现此问题的一组台式机的流量。在这些转储中,我找不到受影响计算机的任何注册尝试。

关于我们的环境需要注意的一些事项

  • 客户端从旧域中的两个 DHCP 服务器获取其 DHCP 地址。
  • 客户端被告知使用的 DNS 服务器(选项 006)也是旧域控制器。但新域的 DNS 请求会使用条件转发转发到新 DC。
  • 对于新域名,允许更新。(仅限安全)
  • DHCP(选项 015)提供的连接后缀仍然是旧域。但我们有一个通过 GPO 部署的后缀列表,其中新域后缀位于列表的首位。
  • 新的 AD 域有三个域控制器,其中两个也是 DNS 服务器。

我们尝试过的事情

对于其中一个 DHCP 作用域,我们将连接后缀设置为新域,并将 DNS 服务器设置为新域控制器。这似乎没有什么区别。

这似乎是有关该主题的一篇有趣的文章:http://blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns-updates-registration-rules-of-engagement/ 但那里提到的大多数事情都是有条不紊的。除了在新域控制器上禁用 IPv6 这一事实。

更多信息回应 Craig620 的回答

  • DNS 服务器运行的是 Windows Server 2012 R2,客户端都是 Windows 7,DHCP 服务器运行的是 Server 2008 R2。
  • 所有客户端都加入了同一个域(合并后的新域),问题仅发生在这个域中。
  • 没有具有静态 IP 地址的客户端。
  • 我们目前没有将客户端从旧域移至新域。我们对一些客户端进行了此操作,但出现问题的计算机尚未移动。它们已使用新域中的 SCCM 进行部署。
  • 我找不到有问题的 50% 与其他系统之间的显著差异。例如:同一教室中的一些计算机有问题,其他计算机没有问题。它们通常运行相同的软件、更新等。并且连接到网络的同一部分。硬件也相同。我能想到的区别是它们正在尝试联系另一个域控制器,但我看不到任何尝试这样做。
  • 这个问题已经持续了数周,所以计算机应该有足够的时间进行自我注册。
  • 客户端似乎没有查询区域 SOA。旧域和新域的区域名称不相似。(例如,旧域为 green.local,新域为 int.blue.com)
  • 我为 DNS 后缀搜索列表设置了一个 GPO。此列表首先包含新的 AD 域,然后是不同合并组织的旧域。这是唯一与 DNS 相关的 GPO。但我会更彻底地检查它。

答案1

我怀疑这可能是由于工作站上配置错误的 DNS 主后缀(或网络连接上设置的 DNS 后缀)造成的。澄清一下,我说的不是搜索后缀。

您能确认客户端上的这两个属性是正确的吗?

  • 系统 -> 计算机名称 -> 更改设置 -> 更改... -> 更多... -> 此计算机的主 DNS 后缀
  • 开始 -> RUn -> ncpla.cpl -> 默认网络连接的属性 -> TCP/IPv4 -> 高级 -> DNS 选项卡 -> 此连接的 DNS 后缀:

答案2

太多未知数,无法发表评论...
DNS 服务器和客户端的操作系统版本是多少?
发生故障的客户端是否都属于一个域,还是跨域存在问题?
该问题是否也发生在具有静态地址的机器上?
您是否正在将客户端从 oldDom 移动到 newDom?
50% 没有 DNS 记录的客户端还有什么独特之处?
客户端每 24 小时只注册一次 DDNS。如果您只是在等待它发生,请耐心等待...
DDNS 操作首先查询区域 SOA(授权起始点)。区域名称是否不同(green.com、blue.com)或相似(green.com、grass.green.com、frog.green.com)?如果相似,您是否设置了区域委派?如果未将注册发送到正确的 DNS 服务器,并且您有相似的命名空间但没有区域委派,则注册将失败。
您是否已设置任何与 DNS 相关的 GPO?有一个 GPO 选项可以禁用动态 DNS 注册。这通常在将 DHCP 服务器配置为代表它为其发出地址的客户端注册 DNS 名称时使用。

编辑 1/16

为什么 newDom 中的客户端仍然由 oldDom 中的 DHCP 服务器提供服务,获取带有 oldDom 后缀的 DHCP 选项,并被告知使用 oldDom DC 进行 DNS 解析?这些都可以,但也增加了复杂性,可能会导致问题。即使您有理由,也请尝试在小型客户端群上使用 newDom 中的新 DHCP 服务器进行测试,该服务器不以任何方式引用 oldDom(后缀、DNS 解析器等)。

您能回答 Jeremy Gibbons 关于 DHCP 选项 81 的问题吗?

您可以尝试以下几种方法来帮助缩小问题根源。在小样本(例如 6-10 台)不同的机器上执行每项操作:

  1. 将您的一个 DHCP 范围缩小 6-10 个地址,删除这 6-10 台机器的 DNS 记录,然后将静态分配给这些机器。

  2. 删除不同的 6-10 台机器的 DNS 记录,将它们移动到没有应用组策略的 OU。

如果问题没有在第一组客户端中重现,则问题可能与 DHCP 有关。
如果问题没有在第二组客户端中重现,则问题可能与 GPO 有关。

编辑 1/27

尝试启用这两个事件日志:

  • “Microsoft-Windows-DNS 客户端事件/操作”
  • “Microsoft-Windows-DHCP 客户端事件/操作”

不管你信不信,动态 DNS 注册实际上是由 DHCP 客户端服务执行的。调用“ipconfig /registerdns”。检查每个日志,看看是否有任何异常。成功注册后,如下所示:

Log Name:      Microsoft-Windows-Dhcp-Client/Operational
Source:        Microsoft-Windows-Dhcp-Client
Date:          1/27/2016 8:42:01 AM
Event ID:      50042
Task Category: DNS State Event
Level:         Information
Keywords:      
User:          LOCAL SERVICE
Computer:      dns1.acme.local.com
Description:
Dns registration has happened for the adapter 12. Status Code is 0x0. DNS Flag settings is 10.

dnsCli事件

答案3

我使用以下 GPO 设置解决了这个问题:

计算机配置->策略->管理模板->网络->DNS客户端->动态更新->已启用

在此处输入图片描述 这很奇怪,因为未配置时的行为是启用的。我仔细检查了一下,除了后缀搜索列表外,我们没有任何其他与 DNS 有关的组策略处于活动状态。

相关内容