如何在 Windows Server 上完全禁用动态 DNS?

如何在 Windows Server 上完全禁用动态 DNS?

所以我们是一个大学校园,在 DNS 管理器中,所有学生的电话、桌子等都在 DNS 中注册他们的 A 记录。我们不希望他们这样做。理想情况下,我们只是让加入域的设备注册/更新他们的 DNS 记录。

我们已完成以下工作:

  • DNS:在转发查找区域中右键单击域 > 属性 > 将“动态更新”更改为“仅安全”。 (之前为“不安全和安全”)
  • DHCP:右键单击相应的 DHCP 作用域 > 属性 > DNS 选项卡 > 取消选中“根据以下设置启用 DNS 动态更新”
  • DNS:删除学生子网的所有记录(从每个 DNS 服务器)

它似乎工作了一段时间,但之后每个小时,我都会开始看到旧记录重新填充 Windows DNS 管理器。

我们遗漏了什么?主要原因是,我们遇到了 DNS 抢注问题,一名学生的手机主机名与我们的一台服务器相同,导致最终用户无法通过 DNS 名称访问该服务器。临时缓解措施是为其创建 CNAME,因为动态更新似乎不会更新 CNAME,但我们理想情况下希望阻止所有未加入域的设备在 DNS 中注册。

提前致谢。

答案1

您应该做/需要做的另一件事是在其中一个 DC\DNS 服务器和 DNS 区域上配置清理。这将自动清理旧的、过时的 A 记录。请注意,您只需要在其中一个 DC/DNS 服务器上启用清理,因为 AD 区域已集成,DNS 区域将复制到所有其他 DC\DNS 服务器,因此您所做的任何更改都将作为 AD 复制的一部分复制到所有其他 DC\DNS 服务器。无需在多个 DC\DNS 服务器上启用清理,这样做没有帮助。

还请注意,由于 DNS 区域是 AD 集成的,因此您执行的任何手动清理工作只需在一台 DC\DNS 服务器上完成。同样,由于该区域是 AD 集成的,因此您在一台 DC\DNS 服务器上清理的任何 DNS 记录都将复制到所有其他 DC\DNS 服务器上。

答案2

按照我在评论中提到的操作后,今天早上检查了一下,只有来自加入域的工作站的学生子网的 DNS 更新。没有来自手机、平板电脑、个人设备等的 DNS 更新。

总结一下,我们做了以下事情:

  • DNS:在转发查找区域中右键单击域 > 属性 > 将“动态更新”更改为“仅安全”。 (之前为“不安全和安全”)
  • DHCP:右键单击相应的 DHCP 作用域 > 属性 > DNS 选项卡 > 取消选中“根据以下设置启用 DNS 动态更新”
  • DNS:删除学生子网的所有记录(从每个 DNS 服务器)

但除此之外,我们还做了以下事情:

  • DHCP:从各个相应的范围删除所有租约。

完成前三项后,我们按租约到期日期对 DHCP 租约进行排序。这显示了新租约。然后我们检查了 DNS,发现任何明显是非域设备的新租约(users-iphone.domain.com、bigdicksipad.domain.com [是的...大学生...])都没有动态更新 DNS。

因此,我们采取的前三个措施中的前两个措施确实奏效了。我们遇到的问题是,每小时过后 15 分钟左右,来自学生子网的 1400 条新 DNS 记录就会重新填充到 DNS 中,而这正是我们无法解决的问题。

一时兴起,我们注意到新的、有效的租赁记录的所有者是设备本身(domainworkstation01$),但更新或旧的租赁记录要么由 DHCP 服务器本身拥有,要么由处理上述注释中提到的动态 DNS 更新的域帐户拥有(DHCP > 服务器 > IPv4(右键单击 > 属性)> 高级 > 凭据...),或系统。

虽然这些租约没有问题,并且最终会在到期后失效,但我们发现,当它们在 DHCP 中时,DHCP 会根据这些租约创建记录。我们随后删除了学生子网范围内 DHCP 中的所有 DHCP 租约记录,然后删除了 DNS 记录。

经过今天早上的检查,我发现只有加入域的设备在那些学生子网(连接到它们的工作人员)上才具有 DNS 记录。

呼。

谢谢各位的意见。

相关内容