antares 10 Geschrieben 19. Januar 2007 Melden Teilen Geschrieben 19. Januar 2007 Hallo Leute Ich habe mit Schrecken bemerkt, dass A und PTR Einträge unseres DNS Servers (AD integrierte Zone) nicht stimmen, resp. mehrere Einträge für denselben Namen bei den A Records und mehrere Einträge für dieselbe IP bei den PTR Records existieren. Der DHCP läuft auf dem Domain Controller und ist so eingestellt, dass er dynmische Updates für A und PTR Einträge IN JEDEM FALL machen sollte. (Auch für legacy clients) Bisher war der DHCP Server nicht dafür konfiguriert einen speziellen User Account für die dynmaischen Updates zu benutzen. Dies möchte ich nach Studium diverser Internetquellen ändern damit nicht die geerbten DC Credentials den DHCP Server bevollmächtigen alle Einträge zu ändern. Eine erste prinzipielle Frage stellt sich schon hier: Welche Rechte braucht dieser dedicated User, welche Group Memberships soll ich ihm geben? Freundliche Grüsse antares Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 19. Januar 2007 Melden Teilen Geschrieben 19. Januar 2007 Servus, hast Du zwei DHCP Server? Falls ja, mußt Du die Rechner in die Gruppe DNSUpdateProxy hinzufügen. Gruß Dirk Zitieren Link zu diesem Kommentar
antares 10 Geschrieben 19. Januar 2007 Autor Melden Teilen Geschrieben 19. Januar 2007 Ja, ich habe einen offline DHCP Server, der bei Ausfall übernehmen wird. Er sollte die Einträge aktualisieren können, weil der dieselben Credentials benützt. Die DNSUpdateProxy Gruppe ist AFAIK dazu da, Einträge so zu machen, dass später der erste CLIENT, der den A Eintrag aktualisiert automatisch Besitzer des A Eintrags wird. Dies möchte ich eingentlich nicht, da ich bevorzuge, wenn der DHCP Server beide Einträge pflegt und nicht die Clients. Ich testete erfolgreich dies: (Der dhcp ist darauf eingestellt den User "dhcp2dns" zu Verwenden, ein simpler "Domain User") Ein PC mit neuem nie dagewesenem Namen bezieht ein Lease (ohne Reservierung). Ein korrekter A Eintrag mit Besitzer "dhcp2dns" wurde erstellt, auch ein korrekter PTR Record mit Besitzer "SYSTEM" und einer ACE "dhcp2dns" welche den schreibenden Zugriff erlaubt. Dies sieht soweit gut aus. Unklar ist mir noch, ob ich nun alle älteren A und PTR manuell löschen muss, weil die noch dem SYSTEM gehören, und dann evtl der dhcp2dns nicht aktualisieren darf. Ich sehe in der dhcp console auch etliche PCs die statt dem normal icon noch eine art "schreibstift" zeigen. Dies bedeutet afaik, dass die Aktualisierung noch "pending" ist. Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 19. Januar 2007 Melden Teilen Geschrieben 19. Januar 2007 Du mußt es so konfigurieren, daß die DHCP Server den Eintrag im DNS erstellen. Mit der DNSUpdateProxy erreichst Du, daß DHCP Server A von DHCP Server B den Besitz übernehmen kann und er somit die Einträge aktualisiert. Gruß Dirk Zitieren Link zu diesem Kommentar
antares 10 Geschrieben 19. Januar 2007 Autor Melden Teilen Geschrieben 19. Januar 2007 Aus diesem Technet Artikel entnehme ich: Also, because all of the objects that are created by the members of the DnsUpdateProxy group are not secured, the first user (that is not a member of the DnsUpdateProxy group) to modify the set of records that is associated with a DNS name becomes its owner. When legacy clients are upgraded, they can therefore take ownership of their name records at the DNS server. If every DHCP server registering resource records for legacy clients is a member of the DnsUpdateProxy group, the problems discussed earlier are eliminated. und weiter unten: DNS domain names that are registered by the DHCP server are not secure when the DHCP server is a member of the DnsUpdateProxy group. The host (A) resource record for the DHCP server itself is an example of such a record. Also, because objects created by the members of the DnsUpdateProxy group are not secured, it is impossible to use this group effectively in an Active Directory integrated zone that allows only secure dynamic updates unless you take additional steps to allow records created by members of the group to be secured. und genau hier liegt dann der Haken dieser Lösung, denn wir haben eine AD integrierte Zone, welche NUR sichere Updates erlaubt, und dies soll nicht geändert werden. Ich bin sicher, dass die Lösung mit einem dedicated User eigentlich die richtige Strategie ist, auch der zweite Server kann so bei Bedarf die Einträge aktualisieren. (Habe ich auch gelesen, weiss nur nicht mehr wo. :D ) Mein Hauptproblem ist daher die Entrümpelung der PTR und A Records. Muss ich nun alle früheren Einträge, die dem SYSTEM User gehören von Hand löschen, damit der dhcp "neu anfangen" kann? Könnten mir Aufräumtasks innerhalb des DNS Servers weiterhelfen (Diese Tasks habe ich noch überhaupt nicht verstanden.) Und vom Mechismus her ist mir auch nicht klar, zu welchem Zeitpunkt der dhcp Server die A und PTR entfernt. Die Option "A- und PTR-Einträge beim Löschen der Lease verwerfen" ist bereits aktiv. Doch wann wird ein Lease gelöscht? Ich sehe in der dhcp console abgelaufene Leases mit einem Ausrufezeichen im Icon. Ich habe bisher nie genau beobachtet wie lange der server nun mit Löschen zuwartet. Ewig, bis Adresse wieder vergeben? Eine bestimmte Zeit? Gruss und Danke schön! Antares Zitieren Link zu diesem Kommentar
Gulp 269 Geschrieben 19. Januar 2007 Melden Teilen Geschrieben 19. Januar 2007 -- deleted by Gulp -- Grüsse Gulp Hups falscher Thread, sorry ........ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.