slemke
Goto Top

Windows Server - dynamische DNS Updates mittels DHCP funktioniert nicht korrekt

Hallo zusammen,

ich habe ein Problem mit dynamischen DNS Updates für Adressen, die per DHCP vergeben werden.

Folgendes Setup:
- Windows Server 2012R2 (ja, wird aktuell abgelöst, spielt hier aber sicherlich keine Rolle face-smile)
- DHCP Server auf dem Windows-Server installiert
- Der DHCP Server hat unter Eigenschaften/Erweitert/Registrierungsanmeldeinformationen für die dynamische DNS-Aktualisierung einen User hinterlegt. Es handlet sich um einen Domänen-Nutzer ("dhcpupdate"), der nur in der AD-Gruppe "Domänen-Benutzer" Mitglied ist, sonst nichts (ist das vlt. schon der Fehler?)
- die DNS Zone ist auf "nur sichere Updates" konfiguriert (würde ich auch gerne so lassen)

Um das Problem zu reproduzieren:
- ein neues Notebook, das noch nicht in der Domäne ist, wird an das Netzwerk angeschlossen, der DHCP Server vergibt eine IP, es wird ein A-Record und ein PTR-Eintrag angelegt.
- in der "Sicherheit" des A-Records wird u.a. der "dhcpupdate" User aufgeführt.

So weit so gut face-smile
- Jetzt wird das Notebook in die Domäne gehoben. Ein Computer-Konto wird erstellt.
- die Sicherheitseinstellungen des DNS-Eintrages bleiben unverändert

Jetzt zu meinem Problem:
Mache ich jetzt an dem Notebook ein "ipconfig /registerdns" erhalte ich auf dem Client einen Fehler (EventID 8018), dass der Record nicht aktualisiert werden konnte.

Weiterhin:
- lösche ich jetzt den A-Record und den PTR-Zeiger und mache erneut ein "ipconfig /registerdns" klappt es dieses mal, *allerdings* steht jetzt nicht mehr der User "dhcpupdate" in den Sicherheitseinstellungen, sondern das entsprechende Computerkonto "DOMAENE\NTB-TEST$".

Es ist offensichtlich also so, dass der Client-Computer einen Eintrag, der "ursprünglich" für sich ohne Domänenmitgliedschaft angelegt wurde (aber mit dem User "dhcpupdate") nach Beitritt in die Domäne nicht updaten kann. Ich hätte gedacht, dass u.a. genau dafür der User "dhcpupdate" zuständig ist..?

Was ist hier verkehrt?

Danke
Sebastian

Content-Key: 22607851642

Url: https://administrator.de/contentid/22607851642

Printed on: April 12, 2024 at 23:04 o'clock

Member: ThePinky777
ThePinky777 Feb 20, 2024 at 16:19:09 (UTC)
Goto Top
Zitat von @slemke:
- Der DHCP Server hat unter Eigenschaften/Erweitert/Registrierungsanmeldeinformationen für die dynamische DNS-Aktualisierung einen User hinterlegt. Es handlet sich um einen Domänen-Nutzer ("dhcpupdate"), der nur in der AD-Gruppe "Domänen-Benutzer" Mitglied ist, sonst nichts (ist das vlt. schon der Fehler?)

ja das ist schon der Fehler, weil dein PC kennt den User ja nicht und benutzt ihn ja auch nicht um den Eintrag upzudaten, es ist schon korrekt das die Computerkonten entsprechend den Eintrag updaten.

Bedeutet wenn du da rumfummeln willst, dann must du das Problem auch selbst lösen, ich sehe da keinen sinn darin hier zu "übertreiben", schliesslich ist es wichtig das der DNS Up to Date ist...

Was für einen Vorteil versprichst du dir den eigentlich?
Member: slemke
slemke Feb 20, 2024 at 18:11:49 (UTC)
Goto Top
Hallo,

ich bin davon ausgegangen, dass das hinterlegen von Credentials für das Updaten von DNS Records durch den DHCP Server der "Königsweg" ist - siehe auch "https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-dns-dynamic-updates-windows-server-2003" - "When the DHCP Server service is installed on a domain controller, you can configure the DHCP server by using the credentials of the dedicated user account to prevent the server from inheriting, and possibly misusing, the power of the domain controller.".

Vielleicht habe ich da was falsch. Kann jemand meine Wissenslücke füllen?

lg
Member: elix2k
elix2k Feb 21, 2024 at 07:16:15 (UTC)
Goto Top
Unser DHCP verhält sich genau so. Denke, dass das ein normales Verhalten ist.
Member: slemke
slemke Feb 21, 2024 at 10:10:07 (UTC)
Goto Top
Hallo,

Zitat von @elix2k:
Unser DHCP verhält sich genau so. Denke, dass das ein normales Verhalten ist.

Das ist ja interessant face-smile
In der Tat haben wir durchaus Probleme dadurch. Es passiert gelegentlich, dass ein Rechner eine IP zugewiesen bekommt, für die noch ein anderer PC im DNS steht. Somit sind dann die DNS-Einträge nicht korrekt, der "neue" kann den Eintrag des "alten" nicht aktualisieren. Somit gibt es dann Probleme, z.B. bei der Software-Verteilung. Vielleicht muss ich mir hier das "DNS-Cleanup" einmal ansehen (?).

Grüße
Sebastian