Как в AD происходит регистрация записей клиентов в DNS, если DCHP сервер не в AD?
Домен 2012R2, два DC, один DCHP - роутер Asus.
Клиенты W7 все в AD, адреса получают от DHCP динамические.
При вводе в домен, компьютеру создается запись в DNS. Однако через какое то время клиент может получить новый IP, и DNS уже будет ссылаться на старый адрес, разрешение имен перестает работать.
Кроме того включено автоматическое удаление устаревших записей, и через 2 недели такие записи удаляются, в итоге получается что клиенты вообще перестают быть доступны по FQDN, только через NetBIOS.
В чем причина такого поведения? Есть мнение что корректные DNS-записи клиентов будут только в случае если DHCP поднят на Windows и включен в AD, тогда он обменивается информацией с DNS. Но меня не покидает ощущение, что какое то время назад все работало, клиенты получившие новый IP от роутера каким то образом обновляли запись в DNS.
Есть небезопасное обновление днс записей. Это когда любой может обновить днс запись. Настраивается, по-моему, в днс зоне. Делать так не рекомендуется. Лучше перенесите роль дхцп сервера на контроллеры домена.
Почему в моём случае небезопасное? Клиенты находятся в AD и обновляют DNS записи сервера в AD - в этом ключе соединение безопасное.
Другое дело что сам IP адрес они получают от другого DHCP, но клиент то откуда знает что он небезопасный? DHCP это ведь отдельный протокол и никак не связан с AD, там нет никакой аунтефикации.
Dim: помоему не клиент обновляет записи в днс, а дхцп сервер. А опасность в том что в небезопасном способе обновления это может делать любой дхцп сервер.
Дмитрий: Там есть два варианта работы:
1. DNS обновляется клиент
2. DNS обновляет DHCP сервер за клиента.
Если обновляет клиент то по идее у него должны быть права на соответствующую запись.
Если обновляет сервер, его добавляют в группу безопасности DnsUpdateProxy.
Средний
