Les enregistrements DNS inversés ne sont pas enregistrés lors de l'utilisation de DHCP

14

J'ai découvert un comportement étrange avec les machines Windows, qui semble être assez cohérent entre toutes les versions de Windows de Vista / 2008 à 8.1 / 2012 R2; cela ne se produit pas à la place lorsque vous utilisez Windows XP ou Windows Server 2003.

Le problème est le suivant: lorsque la carte réseau est configurée pour DHCP et que le serveur DHCP n'enregistre pas d'enregistrements DNS au nom de ses clients (car il ne le peut pas ou parce qu'il n'est pas configuré pour le faire), l'enregistrement de transfert A est enregistré, mais pas l'enregistrement PTR inverse .

Quelques détails supplémentaires:

  • Les zones DNS avant et arrière sont intégrées à AD et acceptent les mises à jour dynamiques.
  • Tous les ordinateurs sont joints au domaine.
  • Tous les ordinateurs utilisent les bons serveurs DNS internes, à la fois lorsqu'ils sont configurés de manière statique et lorsqu'ils obtiennent leur configuration à partir de DHCP.
  • "Enregistrer les adresses de cette connexion dans DNS" est activé dans les adaptateurs réseau.
  • Tout va bien quand un ordinateur a une adresse IP statique; les enregistrements avant et arrière sont automatiquement enregistrés.
  • Lorsque le même ordinateur est configuré pour DHCP, l'enregistrement de transfert est enregistré, mais l'enregistrement inverse ne l'est pas.
  • Cela se produit pour tous les ordinateurs avec une version du système d'exploitation> = 6.0, et ce n'est certainement pas lié à une seule machine.
  • Aucune quantité de ipconfig /registerdnsne changera quoi que ce soit.
  • Aucune erreur n'est enregistrée nulle part.

Pourquoi cela se produit-il et comment peut-il être résolu?

Et non, la configuration du serveur DHCP pour effectuer l'enregistrement DNS n'est pas une option ici.

windows domain-name-system active-directory dhcp ptr-record Massimo
la source
Un ami qui n'était pas sur SF a déclaré: "C'est normal, PTR n'est mis à jour que par DHCP dans Win2K +". Cela ne semble pas exactement être le cas d'après votre expérience, mais pourrait être proche ... J'essaie de trouver une meilleure référence.
Chris S
Massimo, êtes-vous en mesure de tirer une trace Wireshark et de vérifier le paquet DHCPREQUEST? Un indicateur doit être défini sur "1" si le client est censé mettre à jour à la fois l'enregistrement A et l'enregistrement PTR. Un indicateur de "0" signifie que le client met à jour l'enregistrement A et demande au serveur de mettre à jour l'enregistrement PTR en son nom. La valeur par défaut est "0".
TheCleaner
Toujours dans la portée DHCP, assurez-vous que == Cliquez sur l'onglet DNS, cliquez sur Propriétés, puis activez la case à cocher Mettre à jour dynamiquement les enregistrements DNS A et PTR uniquement si la demande des clients DHCP == est activée. Cela signifie que lorsque l'indicateur par défaut de "0" arrive, le serveur essaie alors d'enregistrer l'enregistrement PTR auprès du ou des serveurs DNS qu'il est configuré pour mettre à jour. Et assurez-vous que les informations d'identification de mise à jour dynamique DNS sont correctes et que les autorisations appropriées sont appliquées pour que cela fonctionne
TheCleaner
Comme je l'ai dit dans la question, la configuration du serveur DHCP n'est pas une option. Je n'y arrive pas. Il n'enregistrera pas les enregistrements DNS pour ses clients, point final. Ils devraient être capables de le gérer, car ils sont tous membres du domaine.
Massimo
J'ai le même problème. Utilisation de pfSense comme serveur DHCP. Win2k8 DC / DNS. Clients Win7. Les clients enregistrent des enregistrements A, mais pas des enregistrements PTR.
Corey

Réponses:

14

La solution consiste à vérifier Use this connection's DNS suffix in DNS registrationles paramètres TCP / IP de l'interface réseau:

entrez la description de l'image ici

Même si cela peut sembler étrange, c'est la seule solution pour garantir que Windows enregistrera les enregistrements A et PTR pour une connexion réseau DHCP; sinon, il n'enregistrera que l'enregistrement A.

Massimo
la source
Je viens de me heurter à nouveau à cela, cela semble être un bug pour moi. Ce serait bien si MS réparait.
Corey
4

J'ai rencontré le même problème il y a des années. Les paramètres de stratégie de groupe suivants sont la façon dont je l'ai résolu. Cela pourrait facilement être exagéré, mais comme les réponses ci-dessus ne couvrent pas les choses sous un angle de politique de groupe, voici.

Computer Configuration\Administrative Templates\Network\DNS Client

  • Suffixe DNS spécifique à la connexion: activé et défini sur mydomain.org
  • Enregistrer les enregistrements DNS avec le suffixe DNS spécifique à la connexion: activé
  • Enregistrer les enregistrements PTR: activé
  • Mise à jour dynamique: activée
Tim Brigham
la source
Intéressant. Je l' avais déjà essayé « enregistrer PTR » à aucun effet, mais « enregistrer les enregistrements DNS avec suffixe DNS spécifique à la connexion » pourrait effectivement faire l'affaire, car il en effet fait lors de l' activation manuellement cette option dans les propriétés de connexion réseau (voir la réponse acceptée ).
Massimo
1
@Massimo ouais c'est en ligne avec ce que j'ai vu. J'avais besoin d'un moyen de pousser cela, alors j'ai continué à jouer avec la politique jusqu'à ce qu'elle fonctionne.
Tim Brigham
3

Selon MS :

Windows 2000 .. envoie l'option 81 et son nom de domaine complet au serveur DHCP et demande au serveur DHCP d'enregistrer un enregistrement de ressource de pointeur (PTR RR) en son nom. Le client de mise à jour dynamique enregistre un enregistrement de ressource d'adresse (A RR). .. le serveur DHCP peut être configuré pour demander au client d'autoriser le serveur à enregistrer les deux enregistrements auprès du DNS.

Les clients configurés statiquement (non DHCP) enregistrent le RR A et le RR PTR auprès du serveur DNS eux-mêmes.

L'article mentionne également Changing registry entries changes the behavior of the dynamic update DNS client.qu'il pourrait donc y avoir une solution de contournement du registre ...

Edit:
Selon l'article lié par TheCleaner ci-dessous, le GPO que j'ai mentionné dans mon commentaire ne fera pas ce que vous voulez (ouais MS et logiciel de source fermée). Mais en cochant les cases "Enregistrer l'adresse de cette connexion dans DNS" et "Utiliser le suffixe DNS de cette connexion dans l'enregistrement DNS", cela fonctionne. Je n'ai pas d'environnement de test pratique pour l'essayer ...

Chris S
la source
Je n'ai pas de configuration pratique à tester, pourriez-vous essayer d'activer le GPO Computer Config > Templates > Network > DNS Client > Register PTR recordset voir si cela a l'effet souhaité - je pense que ce n'est pas le cas, mais ça vaut le coup.
Chris S
1
setspn.blogspot.com/2010/12/windows-7-reverse-lookup-dns.html
TheCleaner
Le GPO ne change rien, mais l'activation de "Utiliser le suffixe DNS de cette connexion dans l'enregistrement DNS" a en fait fait l'affaire. Veuillez réécrire votre réponse pour l'énoncer explicitement et je l'accepterai.
Massimo
Il est intéressant de noter que le GPO ne change rien. Les documents d'aide contextuelle indiquent explicitement que la case à cocher ne fonctionne que si la stratégie GPO associée est désactivée ou non spécifiée.
Kev
-1

Dans Windows 2008 et versions ultérieures, il existe une option dans la portée DHCP pour configurer le serveur DHCP pour mettre à jour automatiquement les serveurs DNS faisant autorité avec les enregistrements d'hôte (A) et PTR) des clients DHCP. Vous devez activer les mises à jour dynamiques DNS et choisir l'option «Toujours mettre à jour dynamiquement les enregistrements DNS A et PTR, et Ignorer les enregistrements A et PTR lorsque le bail est supprimé.

Image de l'onglet DNS

Pi Rho
la source
Comme je l'ai dit dans la question, dans ce scénario, je n'ai aucun contrôle sur le serveur DHCP.
Massimo
-1

Un autre problème que nous avons découvert est que la zone DNS (les deux) est définie sur Sécurisé uniquement. Si la machine ne génère pas de SID unique, un DNS intégré à Active Directory aura la possibilité d'être défini comme autorisant uniquement les mises à jour sécurisées. Demandez-leur de configurer leur sécurité et leur non-sécurité sur les zones de recherche directe et inverse.

Pi Rho
la source
Pas du tout pertinent. Si tel était le cas, l'enregistrement DNS échouerait même lors de l'utilisation d'une adresse IP statique.
Massimo du