将Windows Server 2003 Active Directory域升级到Server 2008并将客户端PC从Windows XP升级到Windows 7后,我发现dynamicDNS更新行为不一致。
两个域控制器也具有DHCP和DNSangular色。 每个DHCP服务器都有“DNSdynamic更新注册凭证”设置,填入用户帐户,这是“DnsUpdateProxy”组的成员,并且(尽pipe我已经看到赞成和反对的论点),我已经将服务器本身添加到“DnsUpdateProxy”组。
DHCP服务器configuration了以下设置勾选:
'根据以下设置启用DNSdynamic更新''始终dynamic更新DNS A和PTRlogging'删除租约时放弃A和PTRlogging'
一些电脑似乎工作正常。 他们请求一个DHCP地址,并且DHCP服务器递交他们一个并且更新DNS。 如果我检查通过dynamic更新创build的“A”logging的安全性,该logging由为DNSdynamic更新注册创build的帐户拥有,并填充到DHCP服务器中。
另一方面,一些PC似乎直接向DNS服务器注册自己的“A”logging。 这会导致“系统”或PC的AD计算机帐户拥有“A”logging。 发生这种情况时,由于其安全设置,“A”logging将无法被DHCP服务器写入。
我能想到的唯一方法就是完全控制DHCP服务器用来dynamic更新DHCP服务器的帐号。 这将允许它删除/修改任何'A'logging,甚至那些没有创build的logging。
更好的方法是找出为什么PC有时注册“A”logging而不是DHCP服务器。
如果有人遇到过这个,我真的很感谢你的build议。
我相信你想要做的只是告诉你所有的DHCP客户端不要在AD中注册他们自己的DNSlogging。 dynamic更新 GPO以每台计算机为基础控制此行为; 当它被禁用时,每个连接“在DNS中注册该连接的地址”选项都不起作用,并且不会发生dynamic注册,使DHCP服务器不受干扰地处理。 您应该只在应该是DHCP客户端的计算机上设置此GPO。
如果您觉得它有用,请参阅适用于Windows DNS客户端的GPO 。
您将在DNS设置中的pipe理模板和networking下的计算机范围中find此特定的GPO。 将dynamic更新策略设置为禁用,等待GPO应用,并应停止行为。
DNSlogging需要注意的一点是,每次都不会重新创build它们。 当一个客户端注销时,该logging被标记为dnsTombstoned。 logging仍然存在,但在DNSpipe理器中不可见。 当客户更新时,以前的DNSlogging会重新生成animation。 如果您发现问题logging,则可能需要确定在使用ADSIEDIT删除DNSlogging对象时是否出现症状(如果有多个DC / DNS服务器,则复制该logging对象),然后客户端会更新并创build新logging,而不是重新激活现有logging。 业主可能只是墓碑logging上的现有业主。
在ADSIEDIT中,可以打开configuration命名上下文,select分区,然后在右窗格中,右键单击DomainDNSZones分区并select新build命名上下文连接,然后深入到MicrosoftDNS以查看该区域的logging。