matze26 10 Geschrieben 18. Oktober 2005 Melden Teilen Geschrieben 18. Oktober 2005 Hallo Zusammen! Folgendes Szenario: 1. DC: DNS, DHCP, WINS 2. DC: Exchange 2003 3. DC: DNS, WINS Alle Server laufen unter W2K3 mit SP1. Alle Clients laufen unter Windows XP SP1. DNS ist AD integriert und darf nur sichere dynamische Updates zulassen. DHCP ist so konfiguriert, dass es immer A- und PTR Einträge dynamisch aktualisieren und diese auch beim Löschen der Lease verwerfen soll. Scheint aber nicht zu funktionieren! In der DNS Konsole finde ich haufenweise A-Einträge mit unterschiedlichen Hostnames, aber mit den gleichen IP-Adressen. Der DHCP Dienst war also beim Löschen der Lease für einen Client nicht in der Lage, auch den dazugehörigen A- Eintrag im DNS zu entfernen. Dann hat er die gleiche IP-Adresse wieder an einen anderen Client vergeben, mit der sich dieser wiederum im DNS registriert hat. So wird die Forward Lookup Zone langsam zugemüllt.. die Reverse Zonen bleiben hingegen sauber. Nun bin ich bei Microsoft auf zwei Punkte gestoßen, die mit diesem Phänomen zusammen hängen könnten. Da wäre einmal die Gruppe "DNSUpdateProxy" und zum anderen kann man in der DHCP Konsole einen dedizierten Benutzer angeben, um dynamische DNS Updates über DHCP durchzuführen. OK, was ich begriffen habe, ist das ich den DHCP Server auf gar keinen Fall zur Gruppe DNSUpdateProxy hinzufügen darf, da er ja auch gleichzeitig ein DC ist. Das wäre ein Sicherheitsrisiko, da der DHCP Dienst im Sicherheitskontext eines DCs ausgeführt wird und so Kontrolle über alle DNS Einträge hat. Bleibt mir nur noch der dedizierte Benutzer... . Welche Rechte muss dieser Benutzer haben??? Reicht es einfach, einen Domänenbenutzer anzulegen und diesen dort einzutragen? Oder muss der dedizierte Benutzer einer bestimmten Gruppe angehören, wie z.B. den DNS-Admins? Oder liegt hier ein anderer Fehler vor, den ich noch gar nicht in Betracht gezogen habe? Danke im Vorraus für jede Hilfe!!!! Gruß, Matze Zitieren Link zu diesem Kommentar
zahni 525 Geschrieben 18. Oktober 2005 Melden Teilen Geschrieben 18. Oktober 2005 Der DHCP macht die Updates nur für downlevel-Clients (z.B. NT), die DDNS nicht unterstützen. Da alle Clients XP haben, diese Funktion im DHCP abschalten. Vielleicht bringt die ja auch was durcheinander. -Zahni Zitieren Link zu diesem Kommentar
matze26 10 Geschrieben 18. Oktober 2005 Autor Melden Teilen Geschrieben 18. Oktober 2005 Hallo Zahni! Erstmal vielen Dank für deine schnelle Antwort! Das würde allerdings dem Knwoledge Base Artikel 816592 widersprechen! Denn hier steht: "Der DHCP-Server registriert und aktualisiert Clientinformationen immer bei den für ihn konfigurierten DNS-Servern. Dies ist eine angepasste Konfiguration für DHCP-Server unter Windows Server 2003 und Clients, bei denen Windows Server 2003, Windows 2000 oder Windows XP ausgeführt wird. In diesem Modus führt der DHCP-Server immer Aktualisierungen des vollqualifizierten Domänennamens und der IP-Adresslease des Clients (sowohl der Host-(A-) als auch der PTR-Ressourceneinträge) durch, auch wenn der Client angefragt hatte, diese Aktualisierungen selbst durchzuführen. Wenn Sie einen DHCP-Server so konfigurieren möchten, dass er Clientinformationen bei den für ihn konfigurierten DNS-Servern registriert und aktualisiert, öffnen Sie die DHCP-Eigenschaften für den Server, klicken Sie auf DNS und auf Eigenschaften, aktivieren Sie das Kontrollkästchen Dynamische DNS-Updates mit den unten angegebenen Einstellungen aktualisieren, und klicken Sie anschließend auf DNS-A- und -PTR-Einträge immer dynamisch aktualisieren." Können die Clients denn selbst daür sorgen, dass ihre alten Host A Einträge gelöscht werden, wenn die Lease abgelaufen ist? In vielen Fällen ist der Client ja dann bereits heruntergefahren.... Zitieren Link zu diesem Kommentar
weve 10 Geschrieben 19. Oktober 2005 Melden Teilen Geschrieben 19. Oktober 2005 Bin auf etwas gestoßen das dir helfen könnte... http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/528aa0a4-e5b4-45da-9769-1d00ef636bb3.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/6c931ac8-d9c9-4c91-ba33-bfca90573886.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/133b5272-5c5b-4bfb-a575-68ff4ab6a017.mspx mfg weve Zitieren Link zu diesem Kommentar
matze26 10 Geschrieben 19. Oktober 2005 Autor Melden Teilen Geschrieben 19. Oktober 2005 Hallo weve! Scavenging ist im DNS für die Zonen aktiviert und funktioniert auch problemlos! Allerdings habe ich es bei den Standardeinstellungen belassen, also 7 Tage in denen die Zone gesperrt ist für Timestampaktualisierungen, und weitere 7 Tage, in denen die Zeitstempel wieder aktualisiert werden können, bevor der Eintrag entfernt wird. Das ist von Microsoft auch so empfohlen, da bei zu niedrigen Zeit Einstellungen der Host gar nicht in der Lage ist, seinen Zeitstempel zu aktualisieren und so gelöscht wird, obwohl der Eintrag eigentlich noch gültig war. Eine Ausnahme gibt es allerdings, wenn ich z.B. ipconfig /registerdns ausführe oder der Host hochgefahren wird. In diesem Augenblick wird der Zeitstempel des entsprechenden Hosts immer aktualisiert, gleichgültig ob die Zone in dem Moment für Aktualisierungen gesperrt war oder nicht. Die Zeitstempel der DHCP Clients sind also in der Regel zu aktuell, um durch Scavenging beseitigt zu werden, da sie beinahe täglich durch das Hochfahren ihre Zeitstempel aktualisieren. Ich möchte gerne noch mal auf mein Anfangsposting hinweisen. Ich bin mir ziemlich sicher, dass ich dem DHCP Server einen dedizierten Benutzer zuweisen muss! http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/d0e19b57-c368-46c2-b017-caf25ae150ec.mspx Die Frage ist nur welche Berechtigungen dieser Benutzer haben muss, um den DHCP Server ausreichend mit Rechten zum dynamichen DNS Update zu versorgen? Wäre der DHCP nicht auch ein DC, so wäre die Angelegenheit einfach. Ich müsste den entsprechenden Server nur in die Gruppe DNSUpdateProxy aufnehmen. Das geht aber in meinem Fall nicht, da der DHCP Server ansonsten mit den Rechten eines DC ausgestattet was ein nicht unerhebliches Sicherheitsrisiko darstellt. Täte ich es dennoch würde ich diese Fehlermeldung im eventlog erhalten: "The DHCP service has detected that it is running on a domain controller and has no credentials configured for use with Dynamic DNS registrations initiated by the DHCP service. This is not a recommended security configuration. Credentials for Dynamic DNS registrations may be configured using the command line "netsh dhcp server set dnscredentials" or via the DHCP Administrative tool." Gruß, Matze Zitieren Link zu diesem Kommentar
matze26 10 Geschrieben 20. Oktober 2005 Autor Melden Teilen Geschrieben 20. Oktober 2005 Hab´s gelöst! Es reicht, einen ordinären Benutzer im AD anzulegen und diesen dann in den Eigenschaften des DHCP Servers unter Anmeldinformationen eintragen! Schon ist der DHCP Server in der Lage, dynamische DNS Updates im Namen der Clients durchzuführen und A- und PTR- Einträge beim Löschen der Lease zu verwerfen! Gruß, Matze Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.