一貫性のない動的DNS更新動作
Windows Server 2003 ActiveDirectoryドメインをServer2008にアップグレードし、クライアントPCをWindows XPからWindows7にアップグレードした後、動的DNS更新の動作に一貫性がないことがわかりました。
2つのドメインコントローラーにもDHCPとDNSの役割があります。各DHCPサーバーには、「DnsUpdateProxy」グループのメンバーであるユーザーアカウントが入力された「DNS動的更新登録資格情報」設定があり、(賛成と反対の議論を見てきましたが)サーバー自体をに追加しました「DnsUpdateProxy」グループ。
DHCPサーバーは、次の設定にチェックマークを付けて構成されます。
'以下の設定に従ってDNS動的更新を有効にする' 'リースが削除された場合は常にDNSAおよびPTRレコードを動的に更新する' 'AおよびPTRレコードを破棄する'
一部のPCは正常に動作しているようです。彼らはDHCPアドレスを要求し、DHCPサーバーはそれらに1つを渡し、DNSを更新します。動的更新によって作成された「A」レコードのセキュリティを確認すると、レコードはDNS動的更新登録用に作成されたアカウントによって所有され、DHCPサーバーに入力されます。
一方、一部のPCは、独自の「A」レコードをDNSサーバーに直接登録しているように見えます。これにより、「システム」またはPCのADコンピュータアカウントのいずれかが所有する「A」レコードが生成されます。これが発生すると、「A」レコードは、セキュリティ設定のためにDHCPサーバーで書き込みできなくなります。
これについて考える唯一の方法は、DHCPサーバーがDHCPサーバーを動的に更新するために使用するアカウントにゾーンの完全な制御を与えることです。これにより、作成されていないレコードであっても、「A」レコードを削除/変更できるようになります。
より良い方法は、PCがDHCPサーバーの代わりに「A」レコードを登録することがある理由を理解することです。
誰かが以前にこれに出くわしたことがあれば、私は本当にいくつかのアドバイスをいただければ幸いです。
あなたがやりたいことは、すべてのDHCPクライアントに自分のDNSレコードをADに登録しないように指示することだと思います。 動的更新GPOは、コンピューターごとにこの動作を制御します。無効にすると、接続ごとに動作します。 「この接続のアドレスをDNSに登録する」オプションは効果がなく、動的登録は発生しないため、DHCPサーバーが干渉なしに処理します。これを設定する必要があるのはコンピューターのみですGPO DHCPクライアントになります。
便利な場合は、 Windows DNSクライアントに適用されるGPOのリファレンスを次に示します 。
この特定のGPOは、コンピュータースコープ、管理用テンプレートおよびネットワーク、DNS設定にあります。動的更新ポリシーを無効に設定し、GPO適用され、動作が停止するはずです。
DNSレコードで注意すべき点は、DNSレコードが毎回再作成されるわけではないということです。クライアントが登録を解除すると、レコードはdnsTombstonedとしてマークされます。レコードはまだ存在しますが、DNSマネージャーには表示されません。クライアントが更新されると、以前のDNSレコードが再アニメーション化されます。問題のあるレコードを見つけた場合は、ADSIEDITを使用してDNSレコードオブジェクトを削除し(複数のDC/DNSサーバーがある場合は複製し)、クライアントが更新して新しいレコードを作成するのではなく、症状が発生するかどうかを判断できます。既存のレコードを再アニメーション化します。所有者が、墓石の記録にある既存の所有者であった可能性があります。
ADSIEDITで、構成の名前付けコンテキストを開き、[パーティション]を選択し、右ペインでDomainDNSZonesパーティションを右クリックし、[名前付けコンテキストへの新しい接続]を選択してから、MicrosoftDNSにドリルダウンしてゾーンのレコードを表示できます。