Hallo Zusammen!
Folgendes Szenario:
1. DC: DNS, DHCP, WINS
2. DC: Exchange 2003
3. DC: DNS, WINS
Alle Server laufen unter W2K3 mit SP1.
Alle Clients laufen unter Windows XP SP1.
DNS ist AD integriert und darf nur sichere dynamische Updates zulassen. DHCP ist so konfiguriert, dass es immer A- und PTR Einträge dynamisch aktualisieren und diese auch beim Löschen der Lease verwerfen soll. Scheint aber nicht zu funktionieren! In der DNS Konsole finde ich haufenweise A-Einträge mit unterschiedlichen Hostnames, aber mit den gleichen IP-Adressen. Der DHCP Dienst war also beim Löschen der Lease für einen Client nicht in der Lage, auch den dazugehörigen A- Eintrag im DNS zu entfernen. Dann hat er die gleiche IP-Adresse wieder an einen anderen Client vergeben, mit der sich dieser wiederum im DNS registriert hat. So wird die Forward Lookup Zone langsam zugemüllt.. die Reverse Zonen bleiben hingegen sauber. Nun bin ich bei Microsoft auf zwei Punkte gestoßen, die mit diesem Phänomen zusammen hängen könnten. Da wäre einmal die Gruppe "DNSUpdateProxy" und zum anderen kann man in der DHCP Konsole einen dedizierten Benutzer angeben, um dynamische DNS Updates über DHCP durchzuführen.
OK, was ich begriffen habe, ist das ich den DHCP Server auf gar keinen Fall zur Gruppe DNSUpdateProxy hinzufügen darf, da er ja auch gleichzeitig ein DC ist. Das wäre ein Sicherheitsrisiko, da der DHCP Dienst im Sicherheitskontext eines DCs ausgeführt wird und so Kontrolle über alle DNS Einträge hat. Bleibt mir nur noch der dedizierte Benutzer... .
Welche Rechte muss dieser Benutzer haben??? Reicht es einfach, einen Domänenbenutzer anzulegen und diesen dort einzutragen? Oder muss der dedizierte Benutzer einer bestimmten Gruppe angehören, wie z.B. den DNS-Admins? Oder liegt hier ein anderer Fehler vor, den ich noch gar nicht in Betracht gezogen habe?
Danke im Vorraus für jede Hilfe!!!!
Gruß,
Matze