如何在 Windows Server 上完全禁用動態 DNS?
所以我們是大學校園,在 DNS Manager 中,所有學生的電話、桌子等都在 DNS 中註冊他們的 A 記錄。我們不希望他們這樣做。理想情況下,我們只需讓加入域的設備註冊/更新其 DNS 記錄。
我們做了以下事情:
- DNS:右鍵點擊 fwd 查找區域中的域 > 屬性 > 將“動態更新”更改為“僅安全”。(以前是“不安全且安全的”)
- DHCP:右鍵點擊相應的 DHCP 範圍 > 屬性 > DNS 選項卡 > 取消選中“根據以下設置啟用 DNS 動態更新”
- DNS:從學生子網刪除所有記錄(從每個 DNS 伺服器)
似乎它工作了一段時間,但每隔一小時,一小時,我開始看到舊記錄重新填充 Windows DNS 管理器。
我們缺少什麼?這樣做的主要推動力是,我們遇到了 DNS 搶注問題,其中學生手機的主機名與我們的一台伺服器相同,這會阻止最終使用者通過 DNS 名稱訪問該伺服器。臨時緩解措施是為其創建一個 CNAME,因為看起來動態更新不會更新 CNAME,但理想情況下,我們希望阻止所有未加入域的設備在 DNS 中註冊。
提前致謝。
在完成我在評論中提到的操作後,今天早上檢查,只有來自加入域的工作站的學生子網的 DNS 更新。沒有來自手機、平板電腦、個人設備等的 DNS 更新。
回顧一下,我們做了以下事情:
- DNS:右鍵點擊 fwd 查找區域中的域 > 屬性 > 將“動態更新”更改為“僅安全”。(以前是“不安全且安全的”)
- DHCP:右鍵點擊相應的 DHCP 範圍 > 屬性 > DNS 選項卡 > 取消選中“根據以下設置啟用 DNS 動態更新”
- DNS:從學生子網刪除所有記錄(從每個 DNS 伺服器)
但是,除此之外,我們還做了以下事情:
- DHCP:刪除各個範圍內的所有租約。
完成前三項後,我們按 Lease Expiration 對 DHCP 租約進行排序。這顯示了新的租約。然後,我們檢查了 DNS,發現任何明顯屬於非域設備的新租約(users-iphone.domain.com、bigdicksipad.domain.com
$$ yup…college students… $$),不是動態更新 DNS。 所以我們採取的前三個行動中的前兩個確實有效。我們遇到的問題是,在一小時後大約 15 分鐘後,每小時,來自學生子網的 1400 條新 DNS 記錄被重新填充到 DNS 中,這是我們無法弄清楚的。
一時興起,我們注意到新的有效租約記錄的所有者是設備本身(domainworkstation01$),但更新或舊租約記錄由 DHCP 伺服器本身或評論中提到的處理動態 dns 更新的域帳戶擁有上面(DHCP > 伺服器 > IPv4(右鍵點擊 > 屬性)> 高級 > 憑據…),或 SYSTEM。
雖然這些租約很好,並且最終會在到期後消失,但我們發現,當它們在 DHCP 中時,DHCP 會根據這些創建記錄。然後我們所做的是刪除學生子網範圍內 DHCP 中的所有 DHCP 租約記錄,然後刪除 DNS 記錄。
今天早上檢查後,我可以看到只有加入域的設備在這些學生子網(工作人員連接到它們)上有 DNS 記錄。
唷。
謝謝各位的意見。
您應該/需要做的其他事情是在 DC\DNS 伺服器之一和 DNS 區域上配置清理。這將自動清理舊的、陳舊的 A 記錄。請注意,您只需在其中一台 DC/DNS 伺服器上啟用清理,因為 AD 區域已集成,DNS 區域將被複製到所有其他 DC\DNS 伺服器,因此您所做的任何更改都將作為 AD 複製的一部分複製到所有其他 DC\DNS 伺服器。無需在多個 DC\DNS 伺服器上啟用清理,這樣做沒有幫助。
另請注意,由於 DNS 區域是 AD 集成的,因此您執行的任何手動清理只需在一台 DC\DNS 伺服器上完成。同樣,由於該區域是 AD 集成的,因此您在一台 DC\DNS 伺服器上清理的任何 DNS 記錄都將復製到所有其他 DC\DNS 伺服器。