web-dev-qa-db-ja.com

グループポリシーで動的DNS更新を無効にする

私は、自分の制御が及ばない理由で、切り離されたDNS名前空間を持つシステムを管理しています。私はそれが好きではありませんが、それはそうです、そして私はこれを変更する方法がありません。その理由は、サーバーが既存のDNSインフラストラクチャと共存する必要があるためです。

Windowsドメインの名前はad.example.comのようなもので、NETBIOS名はADです。ただし、すべてのDNSサーバーのプライマリDNSサフィックスは、ネットワーク内の場所に応じて、「example.com」または「sub.example.com」に設定されています。 TechnetのDisjoint Namespaceの記事を作成する に従って、ドメインでmsDS-AllowedDNSSuffixes属性を構成しました。

Ad.example.comドメインのDNSは、環境内の2つのドメインコントローラーで実行され、example.comとsub.example.comのDNSは、Microsoft以外の他のDNSサーバーで実行されます。

この環境では、ダイナミックDNSの登録と更新に依存するのではなく、DNSを手動で管理します。


環境は問題なく動作しますが、イベントログに表示される次のような厄介な警告エラーは例外です。

The system failed to register Host (A or AAAA) resource records (RRs) for
network adapter with settings:

Adapter Name : <censored>
Host Name : <censored>
Primary Domain Suffix : sub.example.com
DNS server list :
<censored> (These are the domain controllers for ad.example.com)
Sent update to server : <?>
IP Address(es) :
<censored> (This is the IP address of the Host in question)

The reason the system could not register these RRs was because of a security related
problem. The cause of this could be (a) your computer does not have permissions
to register and update the specific DNS domain name set for this adapter, or 
(b) there might have been a problem negotiating valid credentials with the DNS
server during the processing of the update request.

You can manually retry DNS registration of the network adapter and its settings
by typing 'ipconfig /registerdns' at the command Prompt. If problems still persist,
contact your DNS server or network systems administrator. See event details for
specific error code information.

エラーはシステムログに表示され、ソースは「DNSクライアントイベント」、警告レベルはイベントID 8015です。

パケットスニッフィングを行うと、Windowsボックスが動的更新をサポートしていないsub.example.comの信頼できるDNSサーバーに対して動的DNS更新を実行しているように見えます(動的更新をサポートしていません)。


したがって、グループポリシーを使用して動的DNS更新を無効にするタスクを設定します。

金曜日に、次のスクリーンショットのように、グループポリシーを作成し、それをドメインの上部にリンクしました。

Group Policy Management Editor showing the policy

コンピューターの構成/ポリシー/管理用テンプレート/ネットワーク/ DNSクライアント/動的更新のポリシーが無効に設定されています。

ただし、数日後(グループポリシーが複製されてサーバーに適用される十分な時間)になっても、これらのイベントは引き続きログに表示されます。

GPRESULTを使用して、ポリシーが問題のサーバーに実際に適用されていることを確認しました。

gpresult /scope Computer /vの出力を以下に示します(匿名化の目的で一部の無関係なデータが削除されています)。

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
© 2013 Microsoft Corporation. All rights reserved.

Created on 2015-10-05 at 15:06:54



RSOP data for AD\ad79632 on BESTLA : Logging Mode
--------------------------------------------------

OS Configuration:            Member Server
OS Version:                  6.3.9600
Site Name:                   Example
Roaming Profile:             N/A
Local Profile:               C:\Users\ad79632
Connected over a slow link?: No


COMPUTER SETTINGS
------------------
    CN=BESTLA,OU=Servers,OU=Computers,OU=SHEM,DC=ad,DC=example,DC=com
    Last time Group Policy was applied: 2015-10-05 at 14:09:58
    Group Policy was applied from:      dc02.example.com
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        AD
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
<some GPOs omitted for security reasons>
        Disable Dynamic DNS Updates

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Users
        RDS Endpoint Servers
        RDS Management Servers
        RDS Remote Access Servers
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        BESTLA$
        Day-active Computers
        Domain Computers
        Authentication authority asserted identity
        System Mandatory Level

    Resultant Set Of Policies for Computer
    ---------------------------------------

        Software Installations
        ----------------------
            N/A

        Startup Scripts
        ---------------
            N/A

        Shutdown Scripts
        ----------------
            N/A

        Account Policies
        ----------------
<some GPOs omitted for security reasons>

        Audit Policy
        ------------
            N/A

        User Rights
        -----------
            N/A

        Security Options
        ----------------
<some GPOs omitted for security reasons>

        Event Log Settings
        ------------------
            N/A

        Restricted Groups
        -----------------
            N/A

        System Services
        ---------------
            N/A

        Registry Settings
        -----------------
            N/A

        File System Settings
        --------------------
            N/A

        Public Key Policies
        -------------------
            N/A

        Administrative Templates
        ------------------------
<some GPOs omitted for security reasons>
            GPO: Disable Dynamic DNS Updates
                Folder Id: SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\RegistrationEnabled
                Value:       0, 0, 0, 0
                State:       Enabled
<some GPOs omitted for security reasons>

このスクリーンショットにあるように、問題のレジストリキーは実際に更新されています。

Screenshot of regedit showing the registry key

それで、私は何が欠けていますか?

3

@Brianがコメントで示唆したように、これらのメッセージの発生を停止するために再起動が必要だったことを除いて、私はすべてを正しく行っていたようです。

これは重大な問題ではないため、次のパッチウィンドウまで待機します。これは、サーバーが再起動することを意味します。次に、このメッセージがすべてのサーバーに表示されることを期待します。

0