NeoLEX 10 Geschrieben 4. September 2007 Melden Teilen Geschrieben 4. September 2007 Hallo Kollegen und alle die es werden wollen, ich habe hier ein merkwürdiges Phänomen und kann mir keinen Reim darauf machen. Seit gestern ist mir in unserem Netzwerk aufgefallen, dass meine Windows XP-Clients keine Reverse-Einträge mehr registrieren. Soweit ich weiß, war die letzte relevante Änderung die Installation von SP2 auf den DNS-Servern (Win2K3, AD-Integriert). Erst wenn ich bei den Clients, in den erweiterten TCP/IP-Einstellungen die Option "DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden" aktiviere, wird auch ein Reverse-Eintrag erstellt. Hat von Euch jemand eine Idee, warum diese Option bei mir seit kurzem nötig ist? Hat es eine relevante Änderung durch das SP2 gegeben, weswegen die Reverse Registrierung ohne Suffix nicht mehr funktioniert? Ich bin für jeden Hinweis dankbar. NeoLEX Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. September 2007 Melden Teilen Geschrieben 4. September 2007 Registriert der DHCP oder machen das die Clients selbst (feste IPs) ? Ist eventuell der DHCP-Server auf einen anderen Rechner verschoben worden ? Zitieren Link zu diesem Kommentar
NeoLEX 10 Geschrieben 4. September 2007 Autor Melden Teilen Geschrieben 4. September 2007 Die Windows-Clients registrieren sich selbst im DNS, lediglich die Thin-Clients lasen wir über den DHCP registrieren. Es gab auch keine relevante Änderung des DHCP-Servers und das merkwürdigste ist, dass es in unserer Entwicklungsumgebung trotz identischer Ausstattung und Patchstand zu funktionieren scheint. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. September 2007 Melden Teilen Geschrieben 5. September 2007 Das sind aber auch Domänenmitglieder ? Und die haben auch den richtigen DNS-Server als primären DNS-Server eingetragen ? Zitieren Link zu diesem Kommentar
NeoLEX 10 Geschrieben 5. September 2007 Autor Melden Teilen Geschrieben 5. September 2007 Mit der Domänen-Mitgliedschaft gibt es keine Probleme, Authentifizierung, Benutzeranmeldung, etc. sind in Ordnung. Zwei DNS-Server werden wie gewünscht vom DHCP zugewiesen. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. September 2007 Melden Teilen Geschrieben 5. September 2007 Wenn die Clients ihre Adresse via DHCP bekommen, registrieren sie normalerweise ihren A-Eintrag selbst und der DHCP registriert den PTR bei seinem konfigurierten DNS-Server. Man kann den DHCP so einstellen, dass er auch den A-Eintrag registriert, ungeachtet der Anforderung des Clients. Haben die angesprochenen Clients feste IPs ? Welchen DNS-Server hat der DHCP-Server eingetragen ? Im Falle von nur sicheren Updates: Hat der DHCP-Server einen Benutzer zum Updaten eingetragen oder ist er Mitglied der Gruppe DNSUpdateproxy ? Wie sieht es mit den Reverse-Zonen des DNS-Servers aus, entspricht mindestens eine Zone dem Adressbereich, der den Clients zugewiesen wird (anderenfalls werden die Registrierungsanforderungen an den konfigurierten Weiterleiter geschickt) ? Zitieren Link zu diesem Kommentar
NeoLEX 10 Geschrieben 5. September 2007 Autor Melden Teilen Geschrieben 5. September 2007 Vielen Dank, das ist der entscheidende Hinweis. Bisher bin ich davon ausgegangen, dass der Client auch den PTR-Eintrag selbst machst. Dieses Verhalten erklärt mir auch eines unserer Probleme mit mehrfachen PTR-Einträgen. Dazu bin ich noch auf den KB-Artikel 926296 gestoßen und versuche gerade herauszufinden, wann unser DHCP-Cluster das letzte Mal geschwenkt hat. Denn dies würde die plötzliche Änderung im Verhalten erklären. Wenn es jetzt auch noch zutreffen würde, dass der Client den PTR-Eintrag selbst anlegt sobald man die o.g. Option aktiviert, wäre das von mir beobachtete Verhalten durchgängig nachvollziehbar. NeoLEX Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. September 2007 Melden Teilen Geschrieben 5. September 2007 Der DHCP-Client macht den PTR-Eintrag z.B. selbst, wenn er eine feste IP hat oder wenn der DHCP-Server so konfiguriert ist, dass er keine Updates anstelle des Clients durchführt. Bekommt er eine Adresse via DHCP, registriert er in der Standardeinstellung des DHCP-Servers seinen A-Eintrag selbst, aber nicht den PTR-Eintrag. Man kann auf dem DHCP-Server konfigurieren, dass er auch die Registrierung des A-Eintrages durchführt. Damit das klappt, müssen mehrere Voraussetzungen erfüllt sein ... The Cable Guy: DNS Dynamic Update in Windows 2000, April 2001 Wie ist denn der DHCP-Server bezüglich der Updates konfiguriert ? In welchen Gruppen ist er ? Welches Benutzerkonto wird für das Update benutzt benutzt ? Sind die DNS-Zonen auf nur sichere Updates eingestellt. Welchen Adressbereich haben die Clients und welche Reverse-Zone existiert auf dem DNS-Server ? Läuft der Dienst DHCP-Client auf den Clients ? Zitieren Link zu diesem Kommentar
NeoLEX 10 Geschrieben 5. September 2007 Autor Melden Teilen Geschrieben 5. September 2007 Die dynamisch Aktualisierung im DHCP ist aktiviert. A- und PTR-Einträge nur nach Aufforderung aktualisieren, beim Löschen der Lease verwerfen und die zur Aktualisierungsaufforderung unfähigen Clients (NT4, Non-Windows) werden zwangsregistriert. Die Registrierung erfolgt unter gesonderten Anmeldeinformationen. Das verwendete Benutzerkonto hat weder in der Domäne relevante Gruppenzuweisungen, lediglich "Domänenbenutzer" und "Internetverbot", noch ist es im DNS besonders berechtigt. Das DNS akzeptiert nur sichere dynamische Updates und die relevanten Zugriffsrechte für die Forward- und Reverse-Zonen scheinen "Authentifizierte Benutzer" = "Untergeordnete Objekte erstellen" zu sein. Es gibt zwar noch diverse Rechte für Dom-Admins und System etc. aber darunter fällt der technische Benutzer nicht. Das scheint mir zumindest Teil des Problems zu sein, da hier vorhandene Einträge nicht geändert oder gelöscht werden können. Die DHCP-Option, dass die Einträge bei Leaseablauf gelöscht werden sollen, wird dadurch jedenfalls konterkariert. Der DHCP-Client ist im Standard aktiv und die Reverse-Zonen passen zu den eingerichteten DHCP-Bereichen und den darin vergebenen IP-Adressen. Nachtrag: Das im KB-Artikel 926296 beschrieben Problem konnte ich ausschließen. Die Clusterfunktion hat in den letzten fünf Wochen nicht gewechselt und die Anmeldeinformation ist auf allen Clusternodes korrekt hinterlegt. NeoLEX Zitieren Link zu diesem Kommentar
NeoLEX 10 Geschrieben 6. September 2007 Autor Melden Teilen Geschrieben 6. September 2007 So, dann will ich mal zum Abschluss berichten, damit die Anderen auch noch was davon haben. Ich habe jetzt dem technischen Benutzerkonto weitergehende Rechte im DNS eingerichtet und seitdem funktionieren die Aktualisierungen der DNS-Einträge wieder tadellos. Es hat also vermutlich im SP2 eine Änderung für den DNS-Server gegeben, wodurch die Zugriffsrechte etwas anders gehandhabt werden. Das Recht "Untergeordnete Objekte erstellen" ist nicht mehr für eine DNS-Registrierung ausreichend. Vielen Dank ITHome, du warst ein große Hilfe. Bis zum nächsten Mal NeoLEX Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 6. September 2007 Melden Teilen Geschrieben 6. September 2007 Danke für die Lösung des Problems :) Da muss ich selbst auch mal schauen, das ist mir so noch gar nicht untergekommen oder aufgefallen. Ich habe auch nur ein normales Benutzerkonto, was bisher (scheinbar) funktioniert hat ... edit: dieser Effekt tritt zumindest nicht auf, wenn der DHCP-Server auf einem DC installiert ist (nur sichere Updates, Anmeldekonto ist ein normales Domänenbenutzerkonto) ... edit2: bei einem Member ebenfalls nicht ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.