4
Windows Server - dynamische DNS Updates mittels DHCP funktioniert nicht korrekt
Hallo zusammen,
ich habe ein Problem mit dynamischen DNS Updates für Adressen, die per DHCP vergeben werden.
Folgendes Setup:
- Windows Server 2012R2 (ja, wird aktuell abgelöst, spielt hier aber sicherlich keine Rolle
)
- DHCP Server auf dem Windows-Server installiert
- Der DHCP Server hat unter Eigenschaften/Erweitert/Registrierungsanmeldeinformationen für die dynamische DNS-Aktualisierung einen User hinterlegt. Es handlet sich um einen Domänen-Nutzer ("dhcpupdate"), der nur in der AD-Gruppe "Domänen-Benutzer" Mitglied ist, sonst nichts (ist das vlt. schon der Fehler?)
- die DNS Zone ist auf "nur sichere Updates" konfiguriert (würde ich auch gerne so lassen)
Um das Problem zu reproduzieren:
- ein neues Notebook, das noch nicht in der Domäne ist, wird an das Netzwerk angeschlossen, der DHCP Server vergibt eine IP, es wird ein A-Record und ein PTR-Eintrag angelegt.
- in der "Sicherheit" des A-Records wird u.a. der "dhcpupdate" User aufgeführt.
So weit so gut
- Jetzt wird das Notebook in die Domäne gehoben. Ein Computer-Konto wird erstellt.
- die Sicherheitseinstellungen des DNS-Eintrages bleiben unverändert
Jetzt zu meinem Problem:
Mache ich jetzt an dem Notebook ein "ipconfig /registerdns" erhalte ich auf dem Client einen Fehler (EventID 8018), dass der Record nicht aktualisiert werden konnte.
Weiterhin:
- lösche ich jetzt den A-Record und den PTR-Zeiger und mache erneut ein "ipconfig /registerdns" klappt es dieses mal, *allerdings* steht jetzt nicht mehr der User "dhcpupdate" in den Sicherheitseinstellungen, sondern das entsprechende Computerkonto "DOMAENE\NTB-TEST$".
Es ist offensichtlich also so, dass der Client-Computer einen Eintrag, der "ursprünglich" für sich ohne Domänenmitgliedschaft angelegt wurde (aber mit dem User "dhcpupdate") nach Beitritt in die Domäne nicht updaten kann. Ich hätte gedacht, dass u.a. genau dafür der User "dhcpupdate" zuständig ist..?
Was ist hier verkehrt?
Danke
Sebastian
ich habe ein Problem mit dynamischen DNS Updates für Adressen, die per DHCP vergeben werden.
Folgendes Setup:
- Windows Server 2012R2 (ja, wird aktuell abgelöst, spielt hier aber sicherlich keine Rolle
)- DHCP Server auf dem Windows-Server installiert
- Der DHCP Server hat unter Eigenschaften/Erweitert/Registrierungsanmeldeinformationen für die dynamische DNS-Aktualisierung einen User hinterlegt. Es handlet sich um einen Domänen-Nutzer ("dhcpupdate"), der nur in der AD-Gruppe "Domänen-Benutzer" Mitglied ist, sonst nichts (ist das vlt. schon der Fehler?)
- die DNS Zone ist auf "nur sichere Updates" konfiguriert (würde ich auch gerne so lassen)
Um das Problem zu reproduzieren:
- ein neues Notebook, das noch nicht in der Domäne ist, wird an das Netzwerk angeschlossen, der DHCP Server vergibt eine IP, es wird ein A-Record und ein PTR-Eintrag angelegt.
- in der "Sicherheit" des A-Records wird u.a. der "dhcpupdate" User aufgeführt.
So weit so gut
- Jetzt wird das Notebook in die Domäne gehoben. Ein Computer-Konto wird erstellt.
- die Sicherheitseinstellungen des DNS-Eintrages bleiben unverändert
Jetzt zu meinem Problem:
Mache ich jetzt an dem Notebook ein "ipconfig /registerdns" erhalte ich auf dem Client einen Fehler (EventID 8018), dass der Record nicht aktualisiert werden konnte.
Weiterhin:
- lösche ich jetzt den A-Record und den PTR-Zeiger und mache erneut ein "ipconfig /registerdns" klappt es dieses mal, *allerdings* steht jetzt nicht mehr der User "dhcpupdate" in den Sicherheitseinstellungen, sondern das entsprechende Computerkonto "DOMAENE\NTB-TEST$".
Es ist offensichtlich also so, dass der Client-Computer einen Eintrag, der "ursprünglich" für sich ohne Domänenmitgliedschaft angelegt wurde (aber mit dem User "dhcpupdate") nach Beitritt in die Domäne nicht updaten kann. Ich hätte gedacht, dass u.a. genau dafür der User "dhcpupdate" zuständig ist..?
Was ist hier verkehrt?
Danke
Sebastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 22607851642
Url: https://administrator.de/contentid/22607851642
Printed on: May 4, 2024 at 15:05 o'clock
4 Comments
Latest comment
Zitat von @slemke:
- Der DHCP Server hat unter Eigenschaften/Erweitert/Registrierungsanmeldeinformationen für die dynamische DNS-Aktualisierung einen User hinterlegt. Es handlet sich um einen Domänen-Nutzer ("dhcpupdate"), der nur in der AD-Gruppe "Domänen-Benutzer" Mitglied ist, sonst nichts (ist das vlt. schon der Fehler?)
- Der DHCP Server hat unter Eigenschaften/Erweitert/Registrierungsanmeldeinformationen für die dynamische DNS-Aktualisierung einen User hinterlegt. Es handlet sich um einen Domänen-Nutzer ("dhcpupdate"), der nur in der AD-Gruppe "Domänen-Benutzer" Mitglied ist, sonst nichts (ist das vlt. schon der Fehler?)
ja das ist schon der Fehler, weil dein PC kennt den User ja nicht und benutzt ihn ja auch nicht um den Eintrag upzudaten, es ist schon korrekt das die Computerkonten entsprechend den Eintrag updaten.
Bedeutet wenn du da rumfummeln willst, dann must du das Problem auch selbst lösen, ich sehe da keinen sinn darin hier zu "übertreiben", schliesslich ist es wichtig das der DNS Up to Date ist...
Was für einen Vorteil versprichst du dir den eigentlich?
Hallo,
ich bin davon ausgegangen, dass das hinterlegen von Credentials für das Updaten von DNS Records durch den DHCP Server der "Königsweg" ist - siehe auch "https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-dns-dynamic-updates-windows-server-2003" - "When the DHCP Server service is installed on a domain controller, you can configure the DHCP server by using the credentials of the dedicated user account to prevent the server from inheriting, and possibly misusing, the power of the domain controller.".
Vielleicht habe ich da was falsch. Kann jemand meine Wissenslücke füllen?
lg
ich bin davon ausgegangen, dass das hinterlegen von Credentials für das Updaten von DNS Records durch den DHCP Server der "Königsweg" ist - siehe auch "https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-dns-dynamic-updates-windows-server-2003" - "When the DHCP Server service is installed on a domain controller, you can configure the DHCP server by using the credentials of the dedicated user account to prevent the server from inheriting, and possibly misusing, the power of the domain controller.".
Vielleicht habe ich da was falsch. Kann jemand meine Wissenslücke füllen?
lg
Unser DHCP verhält sich genau so. Denke, dass das ein normales Verhalten ist.
Hallo,
Das ist ja interessant
In der Tat haben wir durchaus Probleme dadurch. Es passiert gelegentlich, dass ein Rechner eine IP zugewiesen bekommt, für die noch ein anderer PC im DNS steht. Somit sind dann die DNS-Einträge nicht korrekt, der "neue" kann den Eintrag des "alten" nicht aktualisieren. Somit gibt es dann Probleme, z.B. bei der Software-Verteilung. Vielleicht muss ich mir hier das "DNS-Cleanup" einmal ansehen (?).
Grüße
Sebastian
Das ist ja interessant
In der Tat haben wir durchaus Probleme dadurch. Es passiert gelegentlich, dass ein Rechner eine IP zugewiesen bekommt, für die noch ein anderer PC im DNS steht. Somit sind dann die DNS-Einträge nicht korrekt, der "neue" kann den Eintrag des "alten" nicht aktualisieren. Somit gibt es dann Probleme, z.B. bei der Software-Verteilung. Vielleicht muss ich mir hier das "DNS-Cleanup" einmal ansehen (?).
Grüße
Sebastian
