Jump to content

DHCP - dynamische DNS-Aktualisierung mit Normalbenutzer geht nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

wir sind derzeit ja immer noch in unserer Domainmigration von 2K8R2 --> W12R2. In dem Zuge wollten wir auch unseren DHCP Server mit umziehen. Dabei die Unsitte von damals: Domainadmin für DNS Aktualisierung verwenden, entfernen.

 

Ja, was im Testnetz lief funktioniert leider in der Echtumgebung nicht. DNS-Aktualisierung mit einem Normalbenutzer funktioniert nicht. Hat mir wer ein Tipp wo hier vermutlich die Berechtigung nicht stimmt bzw, wo man wo welche Berechtigung setzen muss, damit ein Normalbenutzer die DNS-Aktualisierung durchführen kann.

 

 

 

 

Edited by fireblade2000
Link to comment

Den hier:

 

post-15294-0-96706700-1471519366_thumb.jpg

 

Ja korrekt, man brauch keine speziellen Berechtigungen. In der Testumgebung und daheim läuft es auch, aber nur bei uns in der Echt nicht. Sobald ich eine Normaluser nehme werden die DNS Einträge nicht mehr aktualisiert. Da muss bei uns seit W2000 irgendwas verstellt worden sein


Vlt. habe ich den Übeltäter schon, in der Sicherheitseinstellung von DNS Server steht: Auth-User mit Spezieller Berechtigung, aber nichts angehakt. Das heißt ja dann wahrscheinlich keine Rechte.

 

post-15294-0-22388200-1471519923_thumb.jpg

 

Ich vergleiche das mal mit meiner Testumgebung.


Ja, Auth.Benutzer hat kein Recht für Inhalte auflisten

 

post-15294-0-59180500-1471520518_thumb.jpg

 

Weiß jemand woher der DNS Server die Berechtigungsvererbung bekommt? Ich kann das Recht hier nicht korrigieren, weil er in ner Vererbung ist. Wovon erbt der DNS-Server?


OK, im AD unter System\Microsoft DNS.

 

Jetzt mal testen ob es wieder funktioniert

Edited by fireblade2000
Link to comment

Moin,

 

das ist das typische Missverständnis. Nicht der User muss in diese Gruppe, sondern ggf. die DHCP-Server. Das ist auch nur dann relevant, wenn es mehrere DHCP-Server gibt.

 

https://technet.microsoft.com/de-de/library/dd334715(v=ws.10).aspx

https://support.microsoft.com/en-us/kb/816592#bookmark-8

 

Siehe auch:

[Die AD-DNS-Zone sicher konfigurieren | faq-o-matic.net]
http://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/

 

Gruß, Nils

  • Like 1
Link to comment

Ah ok, dann hab ich mein Problem vlt. an der falschen Stelle gesucht. 1. haben wir zwei DHCP Server im Failover-Cluster, 2. wenn ich den Eintrag von meinem Testgerät im DNS anschaue, ist der Besitzer der Domainadmin. Ist vlt. dass mein Problem? Der DHCP-Update User hat einfach kein Recht das Objekt zu aktualisieren...


Danke Nils :thumb1:

 

Jetzt konnte ich a) feststellen das der dhcpdns user funktioniert und b.)  das ich vermutlich nur ein Problem mit Alteinträgen und Besitzerrechten habe.

 

Siehe hier: dhcpdnsuser hat funktioniert.

 

post-15294-0-70383800-1471526402_thumb.jpg
 

Ich arbeite jetzt einfach mal deinen faq-o-matic Artikel durch und check bei meinen Problemeinträgen einfach mal den Besitzer :jau:

Nur was mache ich wenn ich bei allen den Besitzer ändern muss? Oder warte ich da die Alterung ab und bei den Geräten die ne neue IP kriegen sollten lösch ich den Eintrag beispielsweise einfach raus und er erstellt sich neu....?

Edited by fireblade2000
Link to comment

Hi Nils,

 

aber im Technet Artikel steht doch

 

"To solve this problem, you can use a built-in security group called DnsUpdateProxy. However, to protect against unsecured records or to permit members of the DnsUpdateProxy group to register records in zones that allow only secured dynamic updates, you must create a dedicated user account and configure DHCP servers to perform DNS dynamic updates with the credentials of this account (user name, password, and domain). Multiple DHCP servers can use the credentials of one dedicated user account."

 

ich hab das bisher immer so gehandhabt, dass die Bindings im DHCP auf einen dnsupdater-user, der in der Proxygroup drin ist .. damit hat es auf den Systemen immer funktioniert. In dem Abschnitt ist keine Rede vom Computeraccount

 

Gruß

Robert

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...