AD 動態 DNS 更新未在客戶端上觸發
問題
最近,由於合併,我們組織的電腦轉移到了一個新的 AD 域。我們在讓客戶端在我們的 AD 集成 DNS 中動態註冊其 DNS 記錄時遇到問題。
當在客戶端(ipconfig /registerdns)上手動觸發註冊時,一切正常。您可以看到在wireshark中發生的註冊過程,如下所述:https ://technet.microsoft.com/en-us/library/cc771255.aspx
然而,似乎只有大約 50% 的客戶自己這樣做。另一方面,這個過程似乎沒有觸發。即使上述文章中提到的事件(例如啟動時)應該會導致客戶端向 DNS 伺服器註冊其 A 記錄。
我有 tcpdump 不斷從一組出現此問題的桌面擷取流量。在這些轉儲中,我找不到受影響電腦的任何註冊嘗試。
關於我們環境的一些注意事項
- 客戶端從舊域中的兩個 DHCP 伺服器獲取它們的 DHCP 地址。
- 客戶端被告知使用的 DNS 伺服器(選項 006)也是舊的域控制器。但是新域的 DNS 請求使用條件轉發轉發到新的 DC。
- 對於新域,允許更新。(僅限安全)
- DHCP 提供的連接後綴(選項 015)仍然是舊域。但是我們有一個通過 GPO 部署的後綴列表,新域後綴位於列表的首位。
- 新的 AD 域有三個域控制器,其中兩個也是 DNS 伺服器。
我們嘗試過的東西
對於其中一個 DHCP 範圍,我們將連接後綴設置為新域,並將 DNS 伺服器設置為新域控制器。這似乎沒有什麼不同。
這似乎是一篇關於這個主題的有趣文章:http: //blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns-updates-registration-rules-of-engagement/ 但大多數事情提到有順序。除了在新域控制器上禁用 IPv6 的事實。
更多資訊以回應 Craig620 的回答
- DNS 伺服器執行的是 Windows server 2012 R2,客戶端都是 Windows 7,DHCP 伺服器執行的是 server 2008 R2。
- 所有客戶端都加入同一個域(合併後的新域),問題僅發生在該域中。
- 沒有具有靜態 IP 地址的客戶端。
- 我們沒有將客戶從舊域轉移到新域的過程中。我們對一些客戶進行了此操作,但有問題的電腦沒有移動。它們已在新域中使用 SCCM 進行部署。
- 我找不到有問題的 50% 和其他系統之間的顯著差異。例如:同一個教室裡的一些電腦有問題,其他的沒有。它們通常執行相同的軟體、更新等。並且連接到網路的同一部分。硬體也一樣。我能想到的區別是他們正在嘗試聯繫另一個域控制器,但我看不到任何這樣做的嘗試。
- 這個問題已經持續了幾個星期,所以電腦應該有足夠的時間來註冊自己。
- 客戶端似乎沒有查詢區域 SOA。舊域和新域的區域名稱不相似。(例如,舊域的 green.local 和新域的 int.blue.com)
- 我有一個用於 DNS 後綴搜尋列表的 GPO。這是一個列表,首先包含新的 AD 域,然後是不同合併組織的舊域。這是唯一與 DNS 相關的 GPO。但我會更徹底地檢查這一點。
我懷疑它可能來自工作站上配置錯誤的 DNS 主後綴(或網路連接上設置的 DNS 後綴)。只是為了澄清,我不是在談論搜尋後綴。
您能否確認這兩個屬性在客戶端上是正確的?
- 系統 -> 電腦名 -> 更改設置 -> 更改… -> 更多… -> 此電腦的主 DNS 後綴
- 開始 -> 執行 -> ncpla.cpl -> 預設網路連接的屬性 -> TCP/IPv4 -> 高級 -> DNS 選項卡 -> 此連接的 DNS 後綴:
太多未知數無法評論…
DNS 伺服器是什麼版本的作業系統?客戶?
失敗的客戶端都屬於一個域,還是問題跨域?
問題是否也會出現在具有靜態地址的機器上?
您是否正在將客戶從 oldDom 轉移到 newDom?
50% 沒有 DNS 記錄的客戶端還有什麼獨特之處?
客戶每 24 小時只註冊一次 DDNS。如果您只是在等待它發生,請耐心等待…
DDNS 操作首先查詢區域 SOA(權限開始)。區域名稱是不同的(green.com、blue.com)還是相似的(green.com、grass.green.com、frog.green.com)?如果類似,您是否有區域委派設置?如果沒有將其發送到正確的 DNS 伺服器並且您有類似的命名空間而沒有區域委派,則註冊將失敗。
您是否有任何與 DNS 相關的 GPO?有一個 GPO 選項可以禁用動態 DNS 註冊。這通常在 DHCP 伺服器配置為代表它為其分配地址的客戶端註冊 DNS 名稱時使用。
編輯 1/16
為什麼 newDom 中的客戶端仍然由 oldDom 中的 DHCP 伺服器提供服務,獲取帶有 oldDom 後綴的 DHCP 選項,並被告知使用 oldDom DC 進行 DNS 解析?這一切都可以奏效,但它也增加了可能導致問題的複雜性。即使您有理由,也請嘗試在小型客戶端上使用 newDom 中的新 DHCP 伺服器進行測試,該伺服器不會以任何方式(後綴、dns 解析器等)引用 oldDom。
你能回答 Jeremy Gibbons 關於 DHCP 選項 81 的問題嗎?
您可以嘗試幾件事來幫助縮小問題的根源。在一個小樣本(比如 6-10 個)不同的機器上做每一個:
- 將您的 DHCP 範圍縮小 6-10 個地址,刪除這 6-10 台機器的 DNS 記錄,然後將靜態分配給這些機器。
- 刪除其他 6-10 台機器的 DNS 記錄,將它們移動到沒有應用組策略的 OU。
如果第一組客戶端沒有重現問題,則問題可能與 DHCP 有關。
如果第二組客戶沒有重現問題,則問題可能與 GPO 相關。
編輯 1/27
嘗試啟用這兩個事件日誌:
- “Microsoft-Windows-DNS 客戶端事件/操作”
- “Microsoft-Windows-DHCP 客戶端事件/操作”
信不信由你,動態 DNS 註冊實際上是由 DHCP 客戶端服務執行的。呼叫“ipconfig /registerdns”。查看這些日誌中的每一個,以查找看起來不合適的內容。這是成功註冊的樣子:
Log Name: Microsoft-Windows-Dhcp-Client/Operational Source: Microsoft-Windows-Dhcp-Client Date: 1/27/2016 8:42:01 AM Event ID: 50042 Task Category: DNS State Event Level: Information Keywords: User: LOCAL SERVICE Computer: dns1.acme.local.com Description: Dns registration has happened for the adapter 12. Status Code is 0x0. DNS Flag settings is 10.
