Днс давно не обновлялся

Обновлено: 21.11.2024

Когда я присоединился к компании, я заметил, что многие поиски имен не удавались или указывали на неправильные машины. Я также заметил ошеломляющее количество старых, устаревших записей DNS. Очистка, казалось, была настроена, но на самом деле не работала. Я упомянул об этом и получил «Да, мы знаем».
Поэтому я решил немного поковыряться.

В то же время я просматриваю AD и оптимизирую членство в группах.
Группа DnsUpdateProxy, несмотря на ее описание, имела учетную запись администратора домена и учетную запись службы BES в качестве членов.

Я немного почитал и обнаружил, что группа должна иметь учетные записи компьютеров DNS, если зоны настроены только на безопасное обновление, что и было. Я также прочитал, что учетная запись службы должна быть настроена для выполнения обновлений зоны, что я сейчас и сделал.

Однако.
Похоже, DNS по-прежнему не хочет правильно обновляться. Я постоянно получаю неправильные/устаревшие поисковые запросы при подключении к компьютерам.

Зона нашего домена настроена как зона, интегрированная с AD, с репликацией на все DNS-серверы в лесу.
Для динамических обновлений установлено значение "Только безопасные", а устаревание – 2 часа без обновления, 6 часов с интервалом обновления.

На вкладке SOA интервал обновления – 15 минут, повторных попыток – 10, а срок действия – 1 день. Минимальный срок жизни составляет 1 час.

В журнале нет событий DNS, указывающих на то, что что-то настроено неправильно.

DHCP настроен следующим образом:

Включить динамические обновления DNS — всегда динамически обновлять записи DNS A и PTR.
Отбрасывать записи A и PTR при удалении аренды
Динамическое обновление для DHCP-клиентов, которые не запрашивают обновления

Насколько я понимаю (которого явно недостаточно), DHCP должен обновлять DNS, как только обновляется сам. Наш DHCP был настроен на аренду адресов на 1 день по причинам, которые мне так и не объяснили. Я установил это значение обратно на 7 дней, чтобы дать DNS шанс «наверстать упущенное», прежде чем адреса снова изменятся, но мы по-прежнему получаем неверные записи DNS.

Я что-то пропустил или сделал что-то глупое?
Наши настройки теперь представляют собой смесь того, что было раньше (что не работало), и того, что я почерпнул из документации MS.

DC1 имеет DNS-серверы, настроенные как сам, а DC2 (первичный и вторичный)
DC2 имеет DNS-серверы, настроенные как DC1 и себя (первичный и вторичный)

Вы можете включить очистку.

И, пожалуйста, проверьте это ниже:

Если вы выберете «всегда динамически обновлять записи DNS»,

вам еще нужно настроить учетные данные и добавить сервер в группу DnsUpdateProxy.

Для вас есть контрольный список:

1 На всех машинах следует использовать ТОЛЬКО внутренние DNS-серверы. Любой адрес интернет-провайдера приведет к сбою
2 Если какой-либо из контроллеров домена является многосетевым (установлено несколько сетевых адаптеров, несколько IP-адресов и/или RRAS), более чем вероятно, произойдет сбой, а также возникнут другие серьезные проблемы
3 Первичный суффикс DNS ДОЛЖЕН совпадать с именем зоны в DNS
4 Для зоны в DNS ДОЛЖНЫ быть разрешены обновления
5 Если для обновлений зоны установлено значение Только безопасно, машины ДОЛЖНЫ быть объединены для работы, в противном случае DHCP-сервер должен быть настроен с учетными данными или объект DHCP-сервера должен быть добавлен в группу DnsProxyUpdate
6. Имя зоны AD DNS не может быть именем с одной меткой («ДОМЕН» = плохо, «domain.com» = хорошо)
Дополнительную информацию о динамическом обновлении DNS см. в следующей статье:

Обратите внимание: поскольку веб-сайт не находится на хостинге Microsoft, ссылка может быть изменена без предварительного уведомления. Microsoft не гарантирует точность этой информации.

динамически обновлять записи DNS только по запросу клиента DHCP И всегда динамически обновлять записи DNS

С наилучшими пожеланиями,
Фрэнк

• Предложено в качестве ответа frank_song Microsoft contingent staff четверг, 15 февраля 2018 г., 8:51

Здравствуйте!
Просто проверяю, была ли предоставленная информация полезной. Сообщите нам, если вам нужна дополнительная помощь.

Была ли ваша проблема решена?

Если вы решили проблему с помощью нашего решения, отметьте ее как ответ, чтобы помочь другим участникам сообщества быстро найти полезный ответ.
Если вы решаете проблему с помощью собственного решения, поделитесь своим опытом и решением здесь. Это будет очень полезно для других членов сообщества, у которых есть подобные вопросы.
Если нет, ответьте и сообщите нам текущую ситуацию, чтобы оказать дальнейшую помощь.

С наилучшими пожеланиями,
Фрэнк

Извините, что меня не было.

Что вы имеете в виду под:

"вам еще нужно настроить учетные данные и добавить сервер в группу DnsUpdateProxy."

Если я включу очистку, сколько дней это должно быть? Должна ли она обычно быть включена?

Создайте выделенную учетную запись пользователя и настройте серверы DHCP с ее учетными данными в следующих случаях:

DHCP-сервер настроен на выполнение динамических обновлений DNS от имени DHCP-клиентов.

Контроллер домена настроен для работы в качестве DHCP-сервера. Без специальной учетной записи пользователя безопасные обновления не будут работать.

Зоны DNS, которые должны обновляться DHCP-сервером, настроены на разрешение только безопасных динамических обновлений.

Подробнее о группе DnsUpdateProxy см. ниже

>>Если я включу очистку, сколько дней это должно быть? Должна ли она обычно быть включена?

В соответствии с вашей конфигурацией он работает не менее 14 дней.

Подробнее об очистке см. здесь

Просто проверьте ситуацию по вашей проблеме.

С наилучшими пожеланиями,
Фрэнк

Попробую кое-что из этого завтра и отпишусь.

Была ли ваша проблема решена?

Если вы решили проблему с помощью нашего решения, отметьте ее как ответ, чтобы помочь другим участникам сообщества быстро найти полезный ответ.
Если вы решаете проблему с помощью собственного решения, поделитесь своим опытом и решением здесь. Это будет очень полезно для других членов сообщества, у которых есть подобные вопросы.
Если нет, ответьте и сообщите нам текущую ситуацию, чтобы оказать дальнейшую помощь.

С наилучшими пожеланиями,
Фрэнк

Кажется, он все еще там. Я проверил журналы DHCP, и вот такие журналы, которые я вижу, выглядят нормально:

Как упоминалось в заголовке, я поручил своему клиенту обновить свои записи DNS A, чтобы они указывали на мой новый IP-адрес сервера 3 дня назад. Регистратором домена является Heart Internet, и клиент предоставил мне фактический снимок экрана страницы, показывающий, что записи (*, @, www) A действительно указывают на мой новый сервер, но я не вижу никаких изменений в каких-либо записях DNS, используя различные инструменты, такие как whatsmydns.

И старый, и новый серверы работают под управлением Ubuntu 12. Старый сервер работает с использованием Nginx, а новый — с использованием Apache2.

Я понятия не имею, почему это происходит, потому что с помощью другого регистратора я успешно обновил записи DNS для других клиентов, которые правильно указывают на новый сервер.

Если я не смогу решить проблему с помощью совета, я укажу здесь IP/доменное имя.

Скорее всего, это связано с тем, что серийный номер зоны не изменился, поэтому предыдущая запись кэшируется. Когда вы выполняете «nslookup» в SOA, дает ли он правильный ответ?

Эхо-запрос SOA с помощью nslookup дает тайм-аут. Очень странно, я использовал запись SOA из информации, собранной с помощью сайта «intoDNS». (для ns1) со снимка экрана, предоставленного клиентом.

3 ответа 3

Нередко серверы имен существуют не в регистраторе, а где-то еще. Многие веб-хостинговые компании советуют клиентам перенести свои серверы имен в веб-хостинговую компанию (некоторым может даже потребоваться это, хотя нет технических требований к веб-хостингу для размещения DNS). Многие «индивидуальные» веб-хостеры также советуют своим клиентам переместить свои серверы имен (глупо, потому что веб-хостинги обычно не умеют размещать DNS и, вероятно, не должны этого делать).

ИЗМЕНИТЬ

Я считаю, что эта тема смущает многих людей, поэтому я хотел бы прояснить несколько моментов:

При регистрации доменного имени обычно участвуют четыре основных компонента/объекта:

<р>1. Регистратор — здесь регистрируется домен. Регистратор имеет высшие полномочия в отношении доменного имени (регистрация, продление, приостановка).

<р>2. Хост DNS — здесь находятся серверы имен, зона DNS и записи. Какие серверы имен являются авторитетными для доменного имени?

<р>3. Веб-сайт — Где находится веб-сайт?

<р>4. Электронная почта – куда отправляется электронная почта для домена?

На современном рынке, где поставщики услуг хотят "быть всем для всех", нередко один и тот же объект обрабатывает все четыре компонента, но для этого нет технических требований.

Например: у меня есть несколько доменных имен, зарегистрированных через Network Solutions. Сетевые решения являются регистратором, и, если я выберу, они также могут разместить мое пространство имен DNS (зона DNS для моего доменного имени — здесь находятся авторитетные серверы имен), они также могут разместить мой веб-сайт и мою электронную почту, если я так выберу. . Но это не требование. Моя зона DNS (опять же, авторитетные серверы имен) размещена на DynDNS. Я сам размещаю свои веб-сайты и электронную почту. Итак, вы видите, что в моем случае задействованы три разные организации: 1. Network Solutions, которая является регистратором. 2. DynDNS, который размещает зону DNS для моего домена. 3. Я, у которого размещены мои веб-сайты и моя электронная почта.

Суть всего этого в том, что серверы имен могут размещаться у любого, кто предоставляет эту услугу. Это не обязательно должен быть регистратор. Это может быть и часто является сущностью, на которой размещается веб-сайт.В вашем случае похоже, что 1 и 1 размещали веб-сайт в какой-то момент, и, вероятно, клиент переместил свои серверы имен на 1 и 1.

Изменение IP-адреса компьютера (Windows 7) на статический IP-адрес приведет к обновлению DNS (Windows Server 2008 R2). Но изменение IP обратно на динамический не приведет к обновлению DNS. Это не относится к другим компьютерам в сети, которые заставят DNS обновляться при любом изменении IP. Я сравнил настройки безопасности хоста (A) проблемного компьютера с настройками безопасности хоста (A) другого компьютера. Я точно сопоставил их, за исключением того, что дал соответствующим компьютерам полный контроль над хостами (A). Единственный способ обновить DNS после того, как DHCP выдал ему IP-адрес, — выполнить ipconfig /registerdns.

Угрозы кибербезопасности и потребность в надежном резервном копировании

2022-03-29 18:00:00 UTC Вебинар Вебинар: Spanning — угрозы кибербезопасности и потребность в надежном резервном копировании Сведения о событии Просмотреть все события

Похоже, DHCP не имеет права обновлять DNS (по крайней мере, для некоторых машин). У меня это произошло в моей последней среде, и я создал учетную запись DNSupdate, единственной целью которой было обновление DNS. Не могу найти статью прямо сейчас, но это сделало DHCP и DNS идеальными.

22 ответа

Jay6111

Компьютер не получит обновленный DNS с DHCP-сервера, пока не истечет срок аренды, который по умолчанию составляет семь дней. Вы можете сократить срок аренды, чтобы заставить их получать обновленные настройки DNS.

Со временем это всегда будет получаться.

Я видел проблемы с ноутбуками, переключающимися между локальными и беспроводными сетями, что вызывало проблемы с DNS, но никогда ничего не прекращалось.

Jay6111 писал:

Компьютер не будет получать обновленный DNS с DHCP-сервера, пока не истечет срок аренды, что по умолчанию составляет семь дней. Вы можете сократить срок аренды, чтобы заставить их получать обновленные настройки DNS.

-Jay

Но почему это верно для одного компьютера, а не для других? Другие компьютеры в сети автоматически обновят DNS, если IP-адрес изменится со статического на динамический.

Jay6111

Необходимо взглянуть на настройки этой конкретной машины, в какой подсети она находится, к какому сетевому оборудованию она подключена, является ли она беспроводной или проводной. и т. д.

Подсеть предназначена для машины, а сервер — 10.1.10.__ с маской подсети класса C.

Я только что попробовал проводное и беспроводное подключение, и результат был таким же.

DHCP настроен на «Всегда динамически обновлять DNS-записи A и PTR» и на «Отбрасывать записи A и PTR при удалении аренды».

О скольких компьютерах идет речь? Если это просто пара. может быть, вы могли бы попробовать и повторно добавить компьютер в домен? Полностью удалите компьютер из AD и из DNS.

Я только что попытался установить для динамических обновлений значение "небезопасное и безопасное" в свойствах зон прямого и обратного просмотра. Это решило проблему. Так что это определенно проблема безопасности. Я просто не знаю, где.

Jay6111

Незащищенный режим позволяет людям, не входящим в домен, регистрироваться в DNS.Безопасный означает, что он будет разрешать обновления только с компьютеров, присоединенных к домену.
Таким образом, либо это не присоединенный к домену компьютер, либо у вас неправильно настроены области вместе с сайтами и службами.

Велла написал:

О скольких компьютерах идет речь? Если это просто пара. может быть, вы могли бы попробовать и повторно добавить компьютер в домен? Полностью удалите компьютер из AD и из DNS.

Насколько я знаю, проблематична только одна. Хотя есть еще один, который я подозреваю, но у меня не было возможности проверить его сегодня. Как только он станет бесплатным, я его протестирую.

Jay6111 написал:

Установка незащищенного режима позволяет людям за пределами домена регистрироваться в DNS. Безопасный означает, что он будет разрешать обновления только с компьютеров, присоединенных к домену.
Таким образом, либо это не присоединенный к домену компьютер, либо у вас неправильно настроены области вместе с сайтами и службами.

-Джей

Это определенно машина, присоединенная к домену. Но что вы подразумеваете под сайтами и услугами? Простите меня. Я нуб.

Jay6111

Тогда я бы начал с какого-нибудь старого доброго материала для чтения, чтобы лучше понять технологии, которые в конечном итоге помогут вам обнаружить проблему и решить ее.

Спасибо! Я ценю это.

Для просмотра записей вам понадобится диспетчер DNS на контроллере домена. Сайты и услуги — это нечто другое. Если вы можете просто повторно подключить его к домену, это должно решить проблему. Но если нет - попробуйте удалить компьютер из AD и диспетчера DNS.

Похоже, DHCP не имеет права обновлять DNS (по крайней мере, для некоторых машин). У меня это произошло в моей последней среде, и я создал учетную запись DNSupdate, единственной целью которой было обновление DNS. Не могу найти статью прямо сейчас, но это сделало DHCP и DNS идеальными.

Посмотрите эту статью, насколько я помню, учетная запись должна быть только пользователем домена (администратор не требуется)

Велла написал:

Вы можете использовать диспетчер DNS на контроллере домена для просмотра записей. Сайты и услуги — это нечто другое. Если вы можете просто повторно подключить его к домену, это должно решить проблему. Но если нет - попробуйте удалить компьютер из AD и диспетчера DNS.

Я только что удалил его и повторно присоединил к домену, но, к сожалению, это не решило проблему.

А.Х. Майк - хорошая идея. Я просто предполагаю, что все системные администраторы знают об этом трюке, ха-ха. У меня такая настройка и почти никогда не бывает проблем с DNS.

Если вы уверены, что затронута только одна система, проблема не в службе DNS или службе DHCP, а в их перспективных записях и аренде.

Выключите затронутую клиентскую систему. Снимите аренду с DHCP, удалите все записи DNS для системы. убедитесь, что изменения DNS были реплицированы. Включите систему и проверьте, правильно ли она обновляется.

Mike1819 написал:

Похоже, DHCP не имеет права обновлять DNS (по крайней мере, для некоторых машин). У меня это произошло в моей последней среде, и я создал учетную запись DNSupdate, единственной целью которой было обновление DNS. Не могу найти статью прямо сейчас, но это сделало DHCP и DNS идеальными.

Это сделало это! Спасибо!

тачикома626

тачикома626

Одно примечание. если вы используете Windows Server 2008, вы будете нажимать на свойства DHCP/применимого DHCP-сервера/IPv4.

Эта тема заблокирована администратором и больше не открыта для комментариев.

Чтобы продолжить это обсуждение, задайте новый вопрос.

Странные маршруты в таблице маршрутизации

Привет, ребята! Итак, у меня есть вопрос относительно некоторых действительно странных маршрутов в моей таблице маршрутизации. Недавно я перевел свой маршрутизатор Huawei B818 4G в режим моста за pfSense, который теперь является моим основным маршрутизатором. При этом я замечаю эти статические записи, которые появляются и.

Сколько ИБП у вас дома?

Я просто осматривал аккумуляторы (на предмет вздутия и уменьшения времени автономной работы) и решил, что пришло время спросить: Сколько у вас дома? Я запускаю (все APC, потому что это просто «случилось»), лол): 1500 ВА в подвале 2. - разместить стойку Chatsworth 650 в моем домашнем офисе 600 в офисе жены.

Что бы вы сделали?

Итак, я работаю в MSP, который работает круглосуточно и без выходных. Старший инженер в нежелательную смену с 23:00 до 8:00 уходит. Теперь у меня есть возможность перейти на эту должность, насколько больше это потребует компенсации в процентах от того, что я зарабатываю сейчас? и я скажу это.

Щелкни! Lapsus$, Excel RAT, Honda Hackers, Lunar Landers, Windows Easter Egg

Ваша ежедневная доза технических новостей. Вы должны это услышать. Подозреваемые Lapsus$ арестованы за взломы Microsoft, Nvidia, Okta. Больше информации о группе Lapsus$, ответственной за ряд недавних кибератак. Несколько из группы».

Искра! Серия Pro — 25 марта 2022 г.

Friday Из бесплатной энциклопедии Википедии. Другие значения см. в Friday (значения). Пятница — день недели между четвергом и субботой. В странах, принимающих обычай "понедельник-первый".

Читайте также:

  
• Как сделать вкладки внизу в Chrome
  
• Как арендовать сервер в TeamSpeak 3
  
• Как запустить Diablo 2 Resurrected на PS4
  
• Как перевести залив в AutoCad
  
• Как установить play market на электронную книгу onyx boox