服务器 Gind.cn
  1. 服务器 Gind.cn
  3. ADdynamicDNS更新不在客户端上触发
Intereting Posts
Windows Server Foundation用于单一用途的应用程序 我在找什么? SCP转移不起作用,SSH会冻结 在Windows上压缩和解压缩时的文件夹权限 如何在Win XP工作站上为所有用户设置打印机? 哪个是从Bacula恢复Windows的正确合成器? 注销不会终止Windows Server 2003中的进程 在Mongo中设置副本集后,我的Web服务器连接了哪些IP? Jconsole通过VPN 其中内置帐户运行SQL Express 08 nginx,DNS – domain.com解决,但subdomain.domain.com不 如何限制写入缓慢日志的查询大小? Windows事件转发(WEF)大型环境 在另一台机器上,Ubuntu Samba共享不能被Apache写入 设置一个只能用于socks5代理的ssh帐户

ADdynamicDNS更新不在客户端上触发

问题

最近,由于合并,我们组织中的计算机迁移到新的AD域。 我们在让客户dynamic注册我们的AD集成DNS中的DNSlogging时遇到了问题。

当客户端(ipconfig / registerdns)手动触发注册时,一切正常。 您可以看到在wireshark中发生的注册过程如下所述: https : //technet.microsoft.com/en-us/library/cc771255.aspx

但是,只有大约50%的客户似乎是自己做这个。 另一方面,这个过程似乎没有触发。 即使上述文章中提到的事件(例如启动时)应该导致客户端向DNS服务器注册他们的Alogging。

我有tcpdump不断捕获正在展示这个问题的一组桌面的stream量。 在这些转储中,我找不到受影响计算机的任何注册尝试。

有些事情要注意我们的环境

  • 客户端从旧域中的两台DHCP服务器获取其DHCP地址。
  • 客户端被告知使用的DNS服务器(选项006)也是旧的域控制器。 但是,对新域的DNS请求使用条件转发被转发到新的DC。
  • 对于新域,允许更新。 (仅限安全)
  • DHCP提供的连接后缀(选项015)仍然是旧域。 但是我们有一个通过GPO部署的后缀列表,新的域后缀在列表中。
  • 新的AD域有三个域控制器,其中两个也是DNS服务器。

我们尝试了一些东西

对于其中一个DHCP范围,我们将连接后缀设置为新域,将DNS服务器设置为新域控制器。 这似乎没有什么差别。

这似乎是一个有关这个问题的有趣的职位: http : //blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns-updates-registration-rules-of-engagement/但大多数的东西上面提到的是有序的。 除了在新的域控制器上禁用IPv6的事实。

更多的信息在回应Craig620的答案

  • DNS服务器运行Windows Server 2012 R2,客户端全部为Windows 7,DHCP服务器运行的是服务器2008 R2。
  • 所有客户都join到同一个域(合并后的新域),问题只发生在这个域中。
  • 没有静态IP地址的客户端。
  • 我们并没有将客户从旧领域转移到新领域。 我们和一些客户做了这个,但有问题的电脑没有移动。 他们已经在新领域使用SCCM进行部署。
  • 我找不到有问题的50%和其他系统之间的显着差异。 例如:同一个教室里的一些电脑有问题,其他电脑不是。 他们通常运行相同的软件,更新等,并连接到networking的相同部分。 同样的硬件也。 我能想到的区别是,他们正试图联系另一个域控制器,但我看不到任何尝试这样做。
  • 问题已经持续了好几个星期,所以电脑应该有足够的时间进行注册。
  • 客户端似乎没有查询区域SOA。 旧域和新域的区域名称不相似。 (例如,旧域的green.local和新的int.blue.com)
  • 我有一个适用于DNS后缀search列表的GPO。 这是一个包含新AD域的列表,其次是不同合并组织的遗留域。 这是唯一的DNS相关的GPO。 但我会更彻底地检查一下。

我怀疑它可能来自工作站上错误configuration的DNS主后缀(或在networking连接上设置的DNS后缀)。 只是为了澄清,我不是在说search后缀。

你能确认这两个属性在客户端是正确的吗?

  • 系统 – >计算机名称 – >更改设置 – >更改… – >更多… – >此计算机的主DNS后缀
  • 开始 – > RUn – > ncpla.cpl – >默认networking连接的属性 – > TCP / IPv4 – >高级 – > DNS选项卡 – >此连接的DNS后缀:

太多未知的评论…
什么版本的操作系统是DNS服务器? 客户?
做失败的客户端都属于一个域,还是跨域问题?
这个问题是否也会出现带有静态地址的机器?
您是否正在将客户从oldDom移动到newDom?
50%没有DNSlogging的客户端还有什么独特之处?
客户只需每24小时注册一次DDNS。 如果你只是在等待它发生,耐心等待…
DDNS动作首先查询区域SOA(授权开始)。 区域名称是不同的(green.com,blue.com)还是类似的(green.com,grass.green.com,frog.green.com)? 如果类似,您是否有区域代表团设置? 如果没有发送到正确的DNS服务器,注册将失败,并且您有类似的名称空间没有区域委派。
你有没有任何DNS相关的GPO? 有一个GPO选项来禁用dynamicDNS注册。 当DHCP服务器被configuration为代表它为其发放地址的客户端注册DNS名称时,通常使用这种方法。

编辑1/16

为什么newDom中的客户端仍然由oldDom中的DHCP服务器提供服务,使用oldDom的后缀获取DHCP选项,并被告知使用oldDom DC进行DNSparsing? 这一切都可以工作,但也增加了可能导致问题的复杂性。 即使你有一个原因,尝试在一个新的DHCP服务器在一个小的客户端基地进行​​testing,在newDom没有以任何方式引用oldDom(后缀,DNSparsing器等)。

你能回答关于DHCP选项81的Jeremy Gibbons的问题吗?

有几件事情可以尝试帮助缩小问题的根源。 做一个小样本(比如6-10)不同的机器:

  1. 将6-10个地址中的一个DHCP作用域缩小,删除这6-10台机器的DNSlogging,然后为这些机器分配静态。

  2. 删除不同的6-10台机器的DNSlogging,将它们移到没有应用组策略的OU。

如果问题不为第一组客户端重新报告,问题可能与DHCP有关。
如果第二组客户端的问题没有得到解决,问题可能与GPO有关。

编辑1/27

尝试启用这两个事件日志:

  • “Microsoft-Windows-DNS客户端事件/操作”
  • “Microsoft-Windows-DHCP客户端事件/操作”

信不信由你,dynamicDNS注册实际上是由DHCP客户端服务执行的。 调用“ipconfig / registerdns”。 查看这些日志中的每一个,看起来不合适的东西。 这是一个成功的注册看起来像: 

Log Name: Microsoft-Windows-Dhcp-Client/Operational Source: Microsoft-Windows-Dhcp-Client Date: 1/27/2016 8:42:01 AM Event ID: 50042 Task Category: DNS State Event Level: Information Keywords: User: LOCAL SERVICE Computer: dns1.acme.local.com Description: Dns registration has happened for the adapter 12. Status Code is 0x0. DNS Flag settings is 10.

dnsCliEvt

我通过使用以下GPO设置来解决此问题:

计算机configuration – >策略 – >pipe理模板 – >networking – > DNS客户端 – >dynamic更新 – >启用

在这里输入图像说明 这很奇怪,因为未configuration时的行为已启用。 我加倍检查,除了后缀search列表,我们没有任何关于DNS的其他组策略处于活动状态。