fireblade2000 11 Geschrieben 18. August 2016 Melden Teilen Geschrieben 18. August 2016 (bearbeitet) Hallo zusammen, wir sind derzeit ja immer noch in unserer Domainmigration von 2K8R2 --> W12R2. In dem Zuge wollten wir auch unseren DHCP Server mit umziehen. Dabei die Unsitte von damals: Domainadmin für DNS Aktualisierung verwenden, entfernen. Ja, was im Testnetz lief funktioniert leider in der Echtumgebung nicht. DNS-Aktualisierung mit einem Normalbenutzer funktioniert nicht. Hat mir wer ein Tipp wo hier vermutlich die Berechtigung nicht stimmt bzw, wo man wo welche Berechtigung setzen muss, damit ein Normalbenutzer die DNS-Aktualisierung durchführen kann. bearbeitet 18. August 2016 von fireblade2000 Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 18. August 2016 Melden Teilen Geschrieben 18. August 2016 Moin, du spielst auf das Proxykonto an? Dafür braucht der User, den man einträgt, keine speziellen Rechte. Oder wovon genau sprichst du? Gruß, Nils Zitieren Link zu diesem Kommentar
fireblade2000 11 Geschrieben 18. August 2016 Autor Melden Teilen Geschrieben 18. August 2016 (bearbeitet) Den hier: Ja korrekt, man brauch keine speziellen Berechtigungen. In der Testumgebung und daheim läuft es auch, aber nur bei uns in der Echt nicht. Sobald ich eine Normaluser nehme werden die DNS Einträge nicht mehr aktualisiert. Da muss bei uns seit W2000 irgendwas verstellt worden sein Vlt. habe ich den Übeltäter schon, in der Sicherheitseinstellung von DNS Server steht: Auth-User mit Spezieller Berechtigung, aber nichts angehakt. Das heißt ja dann wahrscheinlich keine Rechte. Ich vergleiche das mal mit meiner Testumgebung. Ja, Auth.Benutzer hat kein Recht für Inhalte auflisten Weiß jemand woher der DNS Server die Berechtigungsvererbung bekommt? Ich kann das Recht hier nicht korrigieren, weil er in ner Vererbung ist. Wovon erbt der DNS-Server? OK, im AD unter System\Microsoft DNS. Jetzt mal testen ob es wieder funktioniert bearbeitet 18. August 2016 von fireblade2000 Zitieren Link zu diesem Kommentar
Squire 211 Geschrieben 18. August 2016 Melden Teilen Geschrieben 18. August 2016 ist der User in der DNSUpdateProxy Gruppe drinnen? Wenn nein - daran liegt es wahrscheinlich. Spezielle Rechte braucht der User nicht im DNS ... das ist alles schon von MS über die Gruppe geregelt Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 18. August 2016 Melden Teilen Geschrieben 18. August 2016 Moin, das ist das typische Missverständnis. Nicht der User muss in diese Gruppe, sondern ggf. die DHCP-Server. Das ist auch nur dann relevant, wenn es mehrere DHCP-Server gibt. https://technet.microsoft.com/de-de/library/dd334715(v=ws.10).aspx https://support.microsoft.com/en-us/kb/816592#bookmark-8 Siehe auch: [Die AD-DNS-Zone sicher konfigurieren | faq-o-matic.net]http://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/ Gruß, Nils 1 Zitieren Link zu diesem Kommentar
fireblade2000 11 Geschrieben 18. August 2016 Autor Melden Teilen Geschrieben 18. August 2016 (bearbeitet) Ah ok, dann hab ich mein Problem vlt. an der falschen Stelle gesucht. 1. haben wir zwei DHCP Server im Failover-Cluster, 2. wenn ich den Eintrag von meinem Testgerät im DNS anschaue, ist der Besitzer der Domainadmin. Ist vlt. dass mein Problem? Der DHCP-Update User hat einfach kein Recht das Objekt zu aktualisieren... Danke Nils :thumb1: Jetzt konnte ich a) feststellen das der dhcpdns user funktioniert und b.) das ich vermutlich nur ein Problem mit Alteinträgen und Besitzerrechten habe. Siehe hier: dhcpdnsuser hat funktioniert. Ich arbeite jetzt einfach mal deinen faq-o-matic Artikel durch und check bei meinen Problemeinträgen einfach mal den Besitzer :jau: Nur was mache ich wenn ich bei allen den Besitzer ändern muss? Oder warte ich da die Alterung ab und bei den Geräten die ne neue IP kriegen sollten lösch ich den Eintrag beispielsweise einfach raus und er erstellt sich neu....? bearbeitet 18. August 2016 von fireblade2000 Zitieren Link zu diesem Kommentar
Squire 211 Geschrieben 18. August 2016 Melden Teilen Geschrieben 18. August 2016 Hi Nils, aber im Technet Artikel steht doch "To solve this problem, you can use a built-in security group called DnsUpdateProxy. However, to protect against unsecured records or to permit members of the DnsUpdateProxy group to register records in zones that allow only secured dynamic updates, you must create a dedicated user account and configure DHCP servers to perform DNS dynamic updates with the credentials of this account (user name, password, and domain). Multiple DHCP servers can use the credentials of one dedicated user account." ich hab das bisher immer so gehandhabt, dass die Bindings im DHCP auf einen dnsupdater-user, der in der Proxygroup drin ist .. damit hat es auf den Systemen immer funktioniert. In dem Abschnitt ist keine Rede vom Computeraccount Gruß Robert Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 18. August 2016 Melden Teilen Geschrieben 18. August 2016 Moin, ja, die Doku dazu ist nicht so toll. Die Gruppe ist für die DHCP-Server. Der Useraccount hat mit der Gruppe nichts zu tun. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.