Reverse-DNS-Einträge, die bei Verwendung von DHCP nicht registriert sind

14

Ich bin auf ein seltsames Verhalten bei Windows-Computern gestoßen, das zwischen allen Windows-Versionen von Vista / 2008 bis 8.1 / 2012 R2 ziemlich konsistent zu sein scheint. Bei Verwendung von Windows XP oder Windows Server 2003 ist dies nicht der Fall.

Das Problem ist: Wenn der Netzwerkadapter für DHCP konfiguriert ist und der DHCP-Server keine DNS-Einträge im Namen seiner Clients registriert (weil dies nicht möglich oder nicht konfiguriert ist), wird der Eintrag A weitergeleitet wird registriert, der umgekehrte PTR-Datensatz jedoch nicht .

Einige weitere Details:

  • Sowohl die Forward- als auch die Reverse-DNS-Zone sind AD-integriert und akzeptieren dynamische Updates.
  • Alle Computer werden der Domäne hinzugefügt.
  • Alle Computer verwenden die richtigen internen DNS-Server, sowohl bei der statischen Konfiguration als auch beim Abrufen ihrer Konfiguration von DHCP.
  • "Adressen dieser Verbindung in DNS registrieren" ist in den Netzwerkadaptern aktiviert.
  • Alles ist in Ordnung, wenn ein Computer eine statische IP-Adresse hat. Sowohl die Vorwärts- als auch die Rückwärtsaufzeichnungen werden automatisch registriert.
  • Wenn derselbe Computer für DHCP konfiguriert ist, wird der Vorwärtsdatensatz registriert, der Rückwärtsdatensatz jedoch nicht.
  • Dies geschieht für alle Computer mit einer Betriebssystemversion> = 6.0 und ist definitiv nicht mit einem einzelnen Computer verbunden.
  • Keine Menge ipconfig /registerdnswird irgendetwas ändern.
  • Es werden nirgendwo Fehler protokolliert.

Warum passiert das und wie kann es behoben werden?

Und nein, die Konfiguration des DHCP-Servers zur Durchführung der DNS-Registrierung ist hier keine Option.

windows domain-name-system active-directory dhcp ptr-record Massimo
quelle
Ein Freund nicht auf SF sagte: "Das ist normal, PTR wird nur von DHCP in Win2K + aktualisiert". Das scheint aus Ihrer Erfahrung nicht ganz der Fall zu sein, könnte aber nahe liegen ... Ich versuche, eine bessere Referenz zu finden.
Chris S
Massimo, können Sie eine Wireshark-Ablaufverfolgung abrufen und das DHCPREQUEST-Paket überprüfen? Es sollte ein Flag auf "1" gesetzt sein, wenn der Client sowohl den A-Datensatz als auch den PTR-Datensatz aktualisieren soll. Ein Flag von "0" bedeutet, dass der Client den A-Datensatz aktualisiert und den Server auffordert, den PTR-Datensatz in seinem Namen zu aktualisieren. Standard ist "0".
TheCleaner
Stellen Sie auch im DHCP-Bereich sicher, dass == Klicken Sie auf die Registerkarte DNS, klicken Sie auf Eigenschaften, und aktivieren Sie das Kontrollkästchen DNS-A- und PTR-Einträge nur dynamisch aktualisieren, wenn dies von den DHCP-Clients angefordert wird == aktiviert ist. Dies würde bedeuten, dass beim Aufrufen des Standardflags "0" auf dem Server versucht wird, den PTR-Eintrag bei den DNS-Servern zu registrieren, deren Aktualisierung konfiguriert ist. Vergewissern Sie sich, dass die Anmeldeinformationen für die dynamische DNS-Aktualisierung korrekt sind und die entsprechenden Berechtigungen dafür gelten
TheCleaner,
Wie ich in der Frage sagte, ist die Konfiguration des DHCP-Servers keine Option. Ich schaffe es nicht. Es werden keine DNS-Einträge für seine Clients registriert, Punkt. Sie sollten damit umgehen können, da sie alle Domänenmitglieder sind.
Massimo
Ich habe das gleiche Problem. PfSense als DHCP-Server verwenden. Win2k8 DC / DNS. Win7-Clients. Die Clients registrieren A-Datensätze, jedoch keine PTR-Datensätze.
Corey

Antworten:

14

Die Lösung überprüft Use this connection's DNS suffix in DNS registrationdie TCP / IP-Einstellungen der Netzwerkschnittstelle:

Bildbeschreibung hier eingeben

So seltsam es auch erscheinen mag, dies ist die einzige Lösung, um sicherzustellen, dass Windows sowohl die A- als auch die PTR-Einträge für eine DHCP-Netzwerkverbindung registriert. Andernfalls wird nur der A-Datensatz registriert.

Massimo
quelle
Ich bin nur selbst darauf gestoßen, scheint mir ein Käfer zu sein. Wäre schön, wenn MS Abhilfe schaffen würde.
Corey
4

Ich bin vor Jahren auf dasselbe Problem gestoßen. Die folgenden Gruppenrichtlinieneinstellungen wurden von mir behoben. Dies könnte leicht übertrieben sein, aber da die obigen Antworten die Dinge aus gruppenpolitischer Sicht nicht abdeckten, wird hier verfahren.

Computer Configuration\Administrative Templates\Network\DNS Client

  • Verbindungsspezifisches DNS-Suffix: aktiviert und auf mydomain.org eingestellt
  • Registrieren Sie DNS-Einträge mit verbindungsspezifischem DNS-Suffix: aktiviert
  • PTR-Datensätze registrieren: aktiviert
  • Dynamisches Update: aktiviert
Tim Brigham
quelle
Interessant. Ich hatte bereits versucht, "PTR-Einträge registrieren" wirkungslos zu machen, aber "DNS-Einträge mit verbindungsspezifischem DNS-Suffix registrieren" könnte tatsächlich den Trick machen, da dies tatsächlich der Fall ist, wenn diese Option in den Netzwerkverbindungseigenschaften manuell aktiviert wird (siehe die akzeptierte Antwort) ).
Massimo
1
@ Massimo ja das stimmt mit dem überein, was ich gesehen habe. Ich brauchte einen Weg, um dies herauszubringen, also spielte ich weiter mit der Richtlinie, bis sie funktionierte.
Tim Brigham
3

Laut MS :

Windows 2000 .. sendet Option 81 und den vollständig qualifizierten Domänennamen an den DHCP-Server und fordert den DHCP-Server auf, in seinem Namen einen Zeiger-Ressourceneintrag (PTR RR) zu registrieren. Der dynamische Aktualisierungsclient registriert einen Adressressourceneintrag (A RR). .. Der DHCP-Server kann so konfiguriert werden, dass der Client angewiesen wird, dem Server die Registrierung beider Einträge beim DNS zu ermöglichen.

Statisch konfigurierte (Nicht-DHCP-) Clients registrieren sowohl die A-RR als auch die PTR-RR beim DNS-Server.

In dem Artikel wird auch erwähnt, dass Changing registry entries changes the behavior of the dynamic update DNS client.es möglicherweise eine Problemumgehung für die Registrierung gibt ...

Bearbeiten:
Gemäß dem von TheCleaner unten verlinkten Artikel wird das in meinem Kommentar erwähnte Gruppenrichtlinienobjekt nicht das tun, was Sie wollen (ja, MS und Closed-Source-Software). Wenn Sie jedoch die Kontrollkästchen "Adresse dieser Verbindung in DNS registrieren" und "DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden" aktivieren, funktioniert dies. Ich habe keine geeignete Testumgebung, um es auszuprobieren ...

Chris S
quelle
Ich habe kein praktisches Setup zum Testen. Versuchen Sie, das Gruppenrichtlinienobjekt zu aktivieren, Computer Config > Templates > Network > DNS Client > Register PTR recordsund prüfen Sie, ob dies den gewünschten Effekt hat. Ich denke, dass dies möglicherweise nicht der Fall ist, aber einen Versuch wert.
Chris S
1
setspn.blogspot.com/2010/12/windows-7-reverse-lookup-dns.html
TheCleaner
Das Gruppenrichtlinienobjekt ändert nichts, aber das Aktivieren von "DNS-Suffix dieser Verbindung für DNS-Registrierung verwenden" hat tatsächlich den Trick ausgeführt. Bitte schreiben Sie Ihre Antwort um, um dies ausdrücklich anzugeben, und ich werde sie akzeptieren.
Massimo
Es ist interessant, dass das Gruppenrichtlinienobjekt nichts ändert. In den Kontexthilfedokumenten wird explizit angegeben, dass das Kontrollkästchen nur funktioniert, wenn die zugehörige Gruppenrichtlinienobjektrichtlinie deaktiviert oder nicht angegeben ist.
Kev
-1

In Windows 2008 und höher gibt es eine Option im DHCP-Bereich, um den DHCP-Server so einzurichten, dass die autorisierenden DNS-Server automatisch mit den Host- (A) und PTR-) Einträgen der DHCP-Clients aktualisiert werden. Sie müssen dynamische DNS-Aktualisierungen aktivieren und die Option "DNS-A- und PTR-Einträge immer dynamisch aktualisieren" sowie "A- und PTR-Einträge verwerfen" auswählen, wenn die Lease gelöscht wird.

Abbildung der Registerkarte DNS

Pi Rho
quelle
Wie ich in der Frage sagte, habe ich in diesem Szenario keine Kontrolle über den DHCP-Server.
Massimo
-1

Ein weiteres Problem, das wir herausgefunden haben, ist, ob die DNS-Zone (beide) auf Nur sicher eingestellt ist. Wenn der Computer keine eindeutige SID generiert, kann bei einem in Active Directory integrierten DNS festgelegt werden, dass nur sichere Updates zulässig sind. Stellen Sie sicher, dass sie sowohl in der Forward- als auch in der Reverse-Lookup-Zone sicher und nicht sicher sind.

Pi Rho
quelle
Überhaupt nicht relevant. In diesem Fall schlägt die DNS-Registrierung auch bei Verwendung einer statischen IP-Adresse fehl.
Massimo