Question Enregistrements DNS inversés non enregistrés avec DHCP


Je suis tombé sur un comportement étrange avec les machines Windows, qui semble être assez cohérent entre toutes les versions Windows de Vista / 2008 à 8.1 / 2012 R2; cela ne se produit pas à la place sous Windows XP ou Windows Server 2003.

Le problème est le suivant: lorsque la carte réseau est configurée pour DHCP et que le serveur DHCP n'enregistre pas les enregistrements DNS pour le compte de ses clients (parce qu'il ne le peut pas ou qu'il n'est pas configuré pour le faire), l'enregistrement A aval est enregistré, mais l'enregistrement PTR inversé ne fonctionne pas.

Quelques détails supplémentaires:

  • Les zones DNS directe et inverse sont intégrées à AD et acceptent les mises à jour dynamiques.
  • Tous les ordinateurs sont joints au domaine.
  • Tous les ordinateurs utilisent les serveurs DNS internes appropriés, à la fois lorsqu'ils sont configurés de manière statique et lors de l'obtention de leur configuration à partir de DHCP.
  • "Enregistrer les adresses de cette connexion dans DNS" est activé dans les adaptateurs réseau.
  • Tout va bien quand un ordinateur a une adresse IP statique; les enregistrements directs et inverses sont automatiquement enregistrés.
  • Lorsque le même ordinateur est configuré pour DHCP, l'enregistrement transféré est enregistré, mais l'enregistrement inversé ne l'est pas.
  • Cela se produit pour tous les ordinateurs avec une version de système d'exploitation> = 6.0, et cela n'est certainement pas lié à un seul ordinateur.
  • Aucun montant de ipconfig /registerdns va changer quelque chose.
  • Aucune erreur n'est enregistrée n'importe où.

Pourquoi cela se produit-il et comment peut-il être corrigé?

Et non, la configuration du serveur DHCP pour effectuer l'enregistrement DNS n'est pas une option ici.


13
2017-10-24 13:29


origine


Un ami pas sur SF a déclaré: "C'est normal, PTR n'est mis à jour que par DHCP dans Win2K +". Cela ne semble pas exactement être le cas de votre expérience, mais pourrait être proche ... J'essaie de trouver une meilleure référence. - Chris S
Massimo, pouvez-vous extraire une trace wirehark et vérifier le paquet DHCPREQUEST? Un indicateur doit être défini sur "1" si le client est censé mettre à jour les enregistrements A et PTR. Un indicateur de "0" signifie que le client met à jour l'enregistrement A et demande au serveur de mettre à jour l'enregistrement PTR en son nom. La valeur par défaut est "0". - TheCleaner
Toujours dans l'étendue DHCP, assurez-vous que == Cliquez sur l'onglet DNS, sur Propriétés, puis activez la case à cocher Mettre à jour dynamiquement les enregistrements DNS A et PTR uniquement si cela est demandé par les clients DHCP = = est activée. Cela signifie que lorsque le drapeau par défaut "0" entre en jeu, le serveur essaiera ensuite d'enregistrer l'enregistrement PTR avec le ou les serveurs DNS qu'il est configuré pour mettre à jour. Et assurez-vous que les informations d'identification de la mise à jour dynamique DNS sont correctes et que les autorisations appropriées sont appliquées pour que cela fonctionne. - TheCleaner
Comme je l'ai dit dans la question, la configuration du serveur DHCP n'est pas une option. Je n'y arrive pas. Il n'enregistrera pas les enregistrements DNS pour ses clients, un point c'est tout. Ils devraient pouvoir le gérer, car ils sont tous membres du domaine. - Massimo
J'ai le même problème. Utilisation de pfSense en tant que serveur DHCP. Win2k8 DC / DNS. Win7 clients. Les clients enregistrent des enregistrements A, mais pas des enregistrements PTR. - Corey


Réponses:


La solution vérifie Use this connection's DNS suffix in DNS registration dans les paramètres TCP / IP de l'interface réseau:

enter image description here

Bien que cela puisse paraître étrange, c'est la seule solution pour garantir que Windows enregistrera les enregistrements A et PTR pour une connexion réseau DHCP; sinon, il n'enregistrera que l'enregistrement A.


13
2017-10-29 19:25



Je viens juste de le retrouver moi-même, cela me semble être un bug. Ce serait bien si MS pouvait réparer. - Corey


J'ai rencontré le même problème il y a des années. Les paramètres de stratégie de groupe suivants constituent la façon dont je l'ai résolu. Cela pourrait facilement être exagéré, mais comme les réponses ci-dessus ne couvraient pas les choses sous l'angle de la politique de groupe, voilà.

Computer Configuration\Administrative Templates\Network\DNS Client

  • Suffixe DNS spécifique à la connexion: activé et défini sur mydomain.org
  • Enregistrer les enregistrements DNS avec le suffixe DNS spécifique à la connexion: activé
  • Enregistrer les enregistrements PTR: activé
  • Mise à jour dynamique: activé

4
2017-10-21 16:18



Intéressant. J'avais déjà essayé "Enregistrer les enregistrements PTR" sans résultat, mais "Enregistrer les enregistrements DNS avec le suffixe DNS spécifique à la connexion" pourrait fait le truc, parce qu'il en effet Est-ce que lors de l'activation manuelle de cette option dans les propriétés de la connexion réseau (voir la réponse acceptée). - Massimo
@ Massimo ouais c'est en ligne avec ce que j'ai vu. J'avais besoin d'un moyen de repousser cela, alors j'ai continué à jouer avec la politique jusqu'à ce que cela fonctionne. - Tim Brigham


Selon MS:

Windows 2000 .. envoie l'option 81 et son nom de domaine complet au serveur DHCP et demande au serveur DHCP d'enregistrer un enregistrement de ressource de pointeur (RR PTR) en son nom. Le client de mise à jour dynamique enregistre un enregistrement de ressource d'adresse (A RR). .. le serveur DHCP peut être configuré pour indiquer au client d'autoriser le serveur à enregistrer les deux enregistrements avec le DNS.

Les clients configurés de manière statique (non-DHCP) enregistrent à la fois le RR A et le RR PTR avec le serveur DNS eux-mêmes.

L'article mentionne également Changing registry entries changes the behavior of the dynamic update DNS client. Donc, il pourrait y avoir une solution de contournement du registre ...


Modifier:
Selon l'article lié par TheCleaner ci-dessous, le GPO que j'ai mentionné dans mon commentaire ne fera pas ce que vous voulez (ouais MS et logiciels à code source fermé). Mais cocher les cases "Enregistrer l'adresse de cette connexion dans le DNS" et "Utiliser le suffixe DNS de cette connexion dans l'enregistrement DNS" le fait fonctionner. Je n'ai pas d'environnement de test pratique pour l'essayer ...


3
2017-10-24 14:14



Je n'ai pas de configuration pratique à tester, pouvez-vous essayer d'activer le GPO Computer Config > Templates > Network > DNS Client > Register PTR records et voyez si cela a l'effet désiré - je pense que ce ne serait peut-être pas le cas, mais en vaut la peine. - Chris S
setspn.blogspot.com/2010/12/windows-7-reverse-lookup-dns.html - TheCleaner
L'objet de stratégie de groupe ne change rien, mais l'activation de l'option "Utiliser le suffixe DNS de cette connexion dans l'enregistrement DNS" a réellement fonctionné. Veuillez réécrire votre réponse pour l'indiquer explicitement et je l'accepterai. - Massimo
C'est intéressant, le GPO ne change rien. La documentation context-help indique explicitement que la case à cocher ne fonctionne que si la stratégie GPO associée est désactivée ou non spécifiée. - Kev


Dans Windows 2008 et les versions ultérieures, l'étendue DHCP permet de configurer le serveur DHCP pour qu'il mette automatiquement à jour les serveurs DNS faisant autorité avec les enregistrements de l'hôte (A) et du PTR) des clients DHCP. Vous devez activer les mises à jour dynamiques DNS et choisir l'option "Toujours mettre à jour dynamiquement les enregistrements DNS A et PTR, et Ignorer les enregistrements A et PTR lors de la suppression du bail.

Image de l'onglet DNS


-1
2017-10-21 14:14



Comme je l'ai dit dans la question, dans ce scénario, je n'ai aucun contrôle sur le serveur DHCP. - Massimo


Un autre problème que nous avons découvert concerne le fait que la zone DNS (les deux) est définie sur Sécurisé uniquement. Si la machine ne génère pas un SID unique, un DNS intégré à Active Directory aura la possibilité d'être configuré pour autoriser uniquement les mises à jour sécurisées. Demandez-leur de sécuriser et non sécuriser les zones de recherche directe et inversée.


-1
2017-10-22 15:36



Pas du tout pertinent. Si tel était le cas, l'enregistrement DNS échouerait même lors de l'utilisation d'une adresse IP statique. - Massimo