lionheart 12 Geschrieben 16. März 2018 Melden Teilen Geschrieben 16. März 2018 (bearbeitet) Hallo Zusammen, ich habe hier ein Active Directory, dessen Clients sich insgesamt in 5x Subnetzen befinden. Der DNS-Server des AD ist so konfiguriert, dass er nur sichere dynamische Updates gestattet. Ein DC und DNS-Server befindet sich nur im Hauptstandort. - Hauptstandort = 192.168.0.0/24 - Zweigstelle 1 = 192.168.1.0/24 - Zweigstelle 2 = 192.168.1.2/24 - Zweigstelle 3 = 192.168.3.0/24 - Zweigstelle 4 = 192.168.4.0/24 Die Clients im Hauptstandort erhalten Ihre IP-Adressen von einem autorisierten DHCP-Server, der auch gleich die DNS-Aktualisierung vornimmt. In den Zweigstellen übernimmt ein lokaler DHCP-Server, der in die Firewall integriert ist, die IP-Zuweisung. Die IP-Aktualisierung am DNS-Server der Clients im Hauptstandort funktioniert fehlerfrei. Problematisch ist nun die Aktualisierung der Einträge von den Zweigstellen. Diese funktioniert nur sporadisch. Besonders problematisch ist die DNS-Aktualisierung, wenn Geräte von einer Zweigstelle im Hauptstandort waren und dort mit einer 192.168.0.0er IP-Adresse im DNS durch den DHCP-Server registriert wurden. Sind die Geräte am nächsten Tag wieder in Zweigstelle, bleibt der DNS-Eintrag bei 192.168.0.0 stehen und wird nicht auf das Zweigstellen-Subnetz aktualisiert. In den Sicherheitseinstellungen des A-Records sehe ich, dass der Eintrag durch den Benutzer des DHCP-Server erzeugt wurde. Der "nicht autorisierte" DHCP-Server in der Zweigstelle hat somit also keine Berechtigung den Eintrag zu aktualisieren, dass müsste somit der Client übernehmen. Ändere ich die dynamischen DNS-Update von "Nur sichere" auf "Sicher und nicht sichere" Aktualisierungen funktioniert alles korrekt. Aus Sicherheitsgründen möchte ich diese Konfiguration jedoch vermeiden. Wie sollte ich meinen DNS-Server für dieses Szenarion konfigurieren? bearbeitet 16. März 2018 von lionheart Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 16. März 2018 Melden Teilen Geschrieben 16. März 2018 Hi, falls du tatsächlich nur einen DC hast, solltest du evtl. mal einen weiteren DC bereitstellen. Wenn die Firewalls DHCP Relay können, kannst du die Anfragen alle zum DHCP in der Zentrale leiten und dort die Adressen entsprechend verteilen lassen. Alternativ dürfte dir die "Lösungsvariante und Ihre Auswirkungen" aus diesem Artikel helfen: https://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/ Gruß Jan Zitieren Link zu diesem Kommentar
lionheart 12 Geschrieben 27. März 2018 Autor Melden Teilen Geschrieben 27. März 2018 Hallo Jan, ich habe alles so konfiguriert, wie in deinem Link beschrieben. Die AD-integrierte DNS-Zone akzeptiert nur "sichere Updates". Der DHCP-Server ist in den DNS-Optionen so konfiguriert, dass er die "DNS-Einträge nur nach Aufforderung vom DHCP-Client dynamisch aktualisiert". Leider ist es dennoch so, dass der DHCP-Server alle DNS-Registrierungen meiner Windows 10 Clients übernimmt. Schaue ich im DNS-Server nach den Einträgen in der DNS-Zone so wurde der Eintrag durch den DHCP-Server und nicht durch das Computerkonto erstellt. Windows 10 sollte die DNS-Registrierung doch selbst übernehmen können und nicht an den DHCP-Server delegieren. Weshalb fordern die DHCP-Clients den DHCP-Server zur DNS-Registrierung auf? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.