我有一个 DHCP 服务器,配置为始终动态更新 DNS 记录。DNS 服务器配置为允许安全和不安全更新(我知道它不安全,但这是一个仅限内部的网络,没有互联网连接)。两者都是 Windows Server 2016。
单域、单林。
有一个分支机构,它有一个不同的子网(仍然是同一个域),总部和分支机构之间有 VPN。分支机构中的另一个 DC 运行 DHCP(仅适用于分支机构)和 DNS(适用于整个域)。总部和分支机构的 DC 之间的复制工作正常。
关于子网划分,没有特别的设置。DNS 中两个子网都存在正向和反向查找区域。
总部的客户端从总部的 DC 获取 IP 地址,DNS 正确更新其 A 记录和 PTR 记录。
但是,在分支机构中,虽然客户端确实获得了 IP 地址,并且创建了正确的 A 记录,但从未为 DHCP 客户端创建过 PTR 记录。(仅适用于静态条目。)
客户端确实在 DHCP 请求数据包中发送选项 81,其中包含 FQDN,所有标志均设置为零。
请注意,我允许安全更新和不安全更新,因此这不应该是由缺少凭据引起的。我没有为 DNS 更新配置凭据,但由于允许不安全更新,我看不出这会有什么帮助。
在客户端上,高级 TCP 选项“使用 DNS 注册此连接的地址”被选中(Windows 默认)。
我看到有人建议使用“在 DNS 注册中使用此连接的 DNS 后缀”选项配置每个客户端。我还没有尝试过,但不明白这有什么用。(它确实发送了 FQDN,应该是服务器在进行 DNS 注册。)并且希望避免必须手动配置所有客户端。
有人知道这是否与同一域中存在第二个子网有关吗?
我该如何正确配置它以便 DNS / DHCP 知道该做什么?
答案1
通过更新分支机构的 DHCP 服务器中的凭据解决了该问题 - 它实际上与多个子网无关。
(在 DCHP 服务器中,右键单击域名下的 IPv4,选择高级和凭据,输入新用户/密码信息 - 这应该是一个非特权用户帐户,仅用于此目的,密码永不过期,用户不能更改密码。我说非特权 - 但它必须是 DnsAdmin 组的成员。)
在分支机构的这台 DHCP 服务器上(并且仅在此服务器上),凭据被设置为几个月前已更改密码的实际用户帐户。
由于允许不安全的更新,因此身份验证失败通常无关紧要。
但我认为这之所以重要,是因为我的域名是多级的(internal.example.com),而 AD 为“internal.example.com”和“example.com”都创建了正向查找区域。在“example.com”区域,动态更新设置为“仅安全”,而“inernal.example.com”设置为“不安全且安全”。
因此,父域无法更新的事实似乎导致 PTR 更新失败。
(请注意,在这种情况下,将 DHCP 服务器添加到 DnsUpdateProxy 组并不能解决问题。)