Вопросы Теги

AD Динамические обновления DNS не запускаются на клиентах

Проблема

Недавно компьютеры в нашей организации переместились в новый домен AD в связи с слиянием. У нас возникают проблемы с тем, чтобы клиенты динамически регистрировали свои записи DNS в нашей интегрированной в AD DNS.

Когда регистрация запускается вручную на клиенте (ipconfig / registerdns), все работает нормально. Вы можете увидеть, как происходит процесс регистрации в wirehark, как описано здесь: https://technet.microsoft. com / en-us / library / cc771255.aspx

Однако только около 50% клиентов, похоже, делают это сами. С другой стороны, похоже, что этот процесс не запускается. Несмотря на то, что события, упомянутые в вышеупомянутой статье (например, при запуске), должны заставить клиента зарегистрировать свою A-запись на DNS-сервере.

У меня tcpdump постоянно захватывает трафик от группы рабочих столов, на которых возникает эта проблема. В этих дампах я не могу найти никаких попыток регистрации для затронутых компьютеров.

Некоторые замечания о нашей среде

  • Клиенты получают свои DHCP-адреса от двух DHCP-серверов в старом домене.
  • DNS-серверы, которые клиенты должны использовать (опция 006), также являются старыми контроллерами домена. Но DNS-запросы для нового домена пересылаются на новый DC с использованием условной пересылки.
  • Для нового домена обновления разрешены. (Только безопасный)
  • Суффикс соединения, предоставляемый DHCP (опция 015), по-прежнему является старым доменом. Но у нас есть список суффиксов, развернутых через объект групповой политики, с новым суффиксом домена первым в списке.
  • В новом домене AD есть три контроллера домена, два из которых также являются DNS-серверами.

Мы кое-что пробовали

] Для одной из областей DHCP мы устанавливаем суффикс подключения для нового домена, а DNS-серверы - для новых контроллеров домена. Похоже, это не имеет значения.

Кажется, это интересный пост по теме: http://blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns- обновления-регистрация-правила-взаимодействия / Но у нас есть список суффиксов, развернутых через объект групповой политики, с новым суффиксом домена первым в списке.

  • В новом домене AD есть три контроллера домена, два из которых также являются DNS-серверами.

    • Мы кое-что пробовали

    ] Для одной из областей DHCP мы устанавливаем суффикс подключения для нового домена, а DNS-серверы - для новых контроллеров домена. Похоже, это не имеет значения.

    Кажется, это интересный пост по теме: http://blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns- обновления-регистрация-правила-взаимодействия / Но у нас есть список суффиксов, развернутых через объект групповой политики, с новым суффиксом домена первым в списке.

  • В новом домене AD есть три контроллера домена, два из которых также являются DNS-серверами.

    • Мы кое-что пробовали

    ] Для одной из областей DHCP мы устанавливаем суффикс подключения для нового домена, а DNS-серверы - для новых контроллеров домена. Похоже, это не имеет значения.

    Кажется, это интересный пост по теме: http://blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns- обновления-регистрация-правила-взаимодействия /

    Что-то, что мы пробовали

    Для одной из областей DHCP мы установили суффикс подключения для нового домена, а DNS-серверы - для новых контроллеров домена. Похоже, это не имеет значения.

    Кажется, это интересный пост по теме: http://blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns- обновления-регистрация-правила-взаимодействия /

    Что-то, что мы пробовали

    Для одной из областей DHCP мы установили суффикс подключения для нового домена, а DNS-серверы - для новых контроллеров домена. Похоже, это не имеет значения.

    Кажется, это интересный пост по теме: http://blogs.msmvps.com/acefekay/2012/11/19/ad-dynamic-dns- обновления-регистрация-правила-взаимодействия / Но большая часть упомянутого там по порядку. За исключением того факта, что IPv6 отключен на новых контроллерах домена.

    Дополнительная информация в ответе на ответ Craig620

    • DNS-серверы работают под управлением Windows Server 2012 R2, все клиенты - Windows 7, DHCP-серверы - серверы. 2008 R2.
    • Все клиенты присоединены к одному домену (новый домен после слияния), проблемы возникают только в этом домене.
    • Нет клиентов со статическими IP-адресами.
    • Мы не в процесс перемещения клиентов со старого домена на новый. Мы сделали это с некоторыми клиентами, но компьютеры, на которых возникли проблемы, не переехали. Они были развернуты с использованием SCCM в новом домене.
    • Я не могу найти существенных различий между 50%, у которых есть проблемы, и другими системами. Например: Некоторые компьютеры в одном классе имеют проблемы, другие - нет. Как правило, они используют одно и то же программное обеспечение, обновления и т. Д. И подключены к одной и той же части сети. Такое же оборудование тоже. Разница, которую я могу придумать, заключается в том, что они пытаются связаться с другим контроллером домена, но я не вижу никаких попыток сделать это.
    • Проблема продолжается уже несколько недель, поэтому у компьютеров должно быть достаточно времени, чтобы регистрируются сами.
    • Похоже, что клиенты не запрашивают SOA зоны. Имена зон для старого и нового домена не похожи. (например, green.local для старого домена и int.blue.com для нового)
    • У меня есть объект групповой политики для списка поиска суффиксов DNS. Это список, содержащий в первую очередь новый AD-домен, за которым следуют унаследованные домены различных объединяющихся организаций. Это единственный объект групповой политики, связанный с DNS. Но я проверю это более тщательно.
    1
    задан 15 January 2016 в 17:57
    3 ответа

    Я решил эту проблему, используя следующие настройки GPO:

    Конфигурация компьютера -> Политики -> Административные шаблоны -> Сеть -> DNS-клиент -> Динамическое обновление -> Включено

    enter image description here Что странно, так как поведение, когда оно не настроено, включено. Я дважды проверил, и у нас нет других активных групповых политик в отношении DNS, кроме списка поиска суффиксов.

    0
    ответ дан 4 December 2019 в 06:41

    Слишком много неизвестных для комментария ...
    Какой версии ОС есть DNS-серверы? клиенты?
    Все ли неисправные клиенты принадлежат к одному домену, или проблема возникает между доменами?
    Возникает ли проблема также на машинах со статическими адресами?
    Вы занимаетесь перемещением клиентов из старого дома в новый?
    Что еще уникально в 50% клиентов, у которых нет записей DNS?
    Клиенты регистрируют DDNS только один раз в 24 часа. Если вы просто ждете, пока это произойдет, наберитесь терпения ...
    Действия DDNS сначала запрашивают SOA зоны (начало полномочий). Названия зон разные (green.com, blue.com) или похожие (green.com, grass.green.com, frog.green.com)? Если аналогично, у вас есть настройка делегирования зоны? Регистрация не удастся, если она не будет отправлена ​​на правильный DNS-сервер и у вас есть аналогичные пространства имен без делегирования зоны.
    Есть ли у вас какие-либо GPO, связанные с DNS? Существует опция GPO для отключения динамической регистрации DNS. Обычно это используется, когда DHCP-сервер настроен на регистрацию DNS-имен от имени клиентов, для которых он выдает адреса.

    Редактировать 1/16

    Почему клиенты в newDom все еще обслуживаются DHCP-серверами в oldDom, получая параметры DHCP с суффиксом oldDom и вам говорят использовать DC oldDom для разрешения DNS? Все это может сработать, но также добавляет сложности, что может привести к проблемам. Даже если у вас есть причина, попробуйте провести тест на небольшой клиентской базе с новым DHCP-сервером в newDom, который никак не ссылается на oldDom (суффиксы, DNS-преобразователи и т. Д.).

    Можете ли вы ответить на вопрос Джереми Гиббонса о Параметр DHCP 81?

    Несколько способов, которые помогут сузить источник проблемы. Выполните каждое из них на небольшой выборке (скажем, 6-10) разных машин:

    1. Уменьшите одну из областей DHCP на 6-10 адресов, удалите записи DNS для этих 6-10 машин, а затем назначьте статические данные этим машинам.

    2. ] Удалите записи DNS для других 6-10 машин, переместите их в OU, где не применяются групповые политики.

    Если проблема не воспроизводится для первой группы клиентов, проблема, вероятно, связана с DHCP.
    Если проблема не воспроизводится для второй группы клиентов, проблема, вероятно, связана с GPO.

    Редактировать 1/27

    Попробуйте включить оба этих журнала событий:

    • «Microsoft-Windows-DNS Client Events / Operational»
    • «Microsoft-Windows-DHCP Client Events / Operational»

    Хотите верьте, хотите нет, но динамическая регистрация DNS фактически выполняется службой клиента DHCP. Вызовите "ipconfig / registerdns". Просмотрите каждый из этих журналов, чтобы найти что-нибудь неуместное. Вот как выглядит успешная регистрация: 

    Log Name:      Microsoft-Windows-Dhcp-Client/Operational
Source:        Microsoft-Windows-Dhcp-Client
Date:          1/27/2016 8:42:01 AM
Event ID:      50042
Task Category: DNS State Event
Level:         Information
Keywords:      
User:          LOCAL SERVICE
Computer:      dns1.acme.local.com
Description:
Dns registration has happened for the adapter 12. Status Code is 0x0. DNS Flag settings is 10.

    dnsCliEvt

    0
    ответ дан 4 December 2019 в 06:41

    Я подозреваю, что это могло произойти из-за неверно настроенного первичного суффикса DNS на рабочих станциях (или суффикса DNS, настроенного для сетевого подключения). Чтобы уточнить, я не говорю о суффиксе поиска.

    Не могли бы вы подтвердить, что эти два свойства верны для клиента?

    • Система -> Имя компьютера -> Изменить настройки -> Изменить ... -> Еще ... -> Первичный DNS-суффикс этого компьютера
    • Пуск -> RUn -> ncpla.cpl -> Свойства по умолчанию сетевое соединение -> TCP / IPv4 -> Дополнительно -> Вкладка DNS -> DNS-суффикс для этого соединения:
    0
    ответ дан 4 December 2019 в 06:41

    Теги

    Похожие вопросы