Днс давно не обновлялся

Обновлено: 01.07.2024

Когда я присоединился к компании, я заметил, что многие поиски имен не удавались или указывали на неправильные машины. Я также заметил ошеломляющее количество старых, устаревших записей DNS. Очистка, казалось, была настроена, но на самом деле не работала. Я упомянул об этом и получил «Да, мы знаем».
Поэтому я решил немного поковыряться.

В то же время я просматриваю AD и оптимизирую членство в группах.
Группа DnsUpdateProxy, несмотря на ее описание, имела учетную запись администратора домена и учетную запись службы BES в качестве членов.

Я немного почитал и обнаружил, что группа должна иметь учетные записи компьютеров DNS, если зоны настроены только на безопасное обновление, что и было. Я также прочитал, что учетная запись службы должна быть настроена для выполнения обновлений зоны, что я сейчас и сделал.

Однако.
Похоже, DNS по-прежнему не хочет правильно обновляться. Я постоянно получаю неправильные/устаревшие поисковые запросы при подключении к компьютерам.

Зона нашего домена настроена как зона, интегрированная с AD, с репликацией на все DNS-серверы в лесу.
Для динамических обновлений установлено значение "Только безопасные", а устаревание – 2 часа без обновления, 6 часов с интервалом обновления.

На вкладке SOA интервал обновления – 15 минут, повторных попыток – 10, а срок действия – 1 день. Минимальный срок жизни составляет 1 час.

В журнале нет событий DNS, указывающих на то, что что-то настроено неправильно.

DHCP настроен следующим образом:

Включить динамические обновления DNS — всегда динамически обновлять записи DNS A и PTR.
Отбрасывать записи A и PTR при удалении аренды
Динамическое обновление для DHCP-клиентов, которые не запрашивают обновления

Насколько я понимаю (которого явно недостаточно), DHCP должен обновлять DNS, как только обновляется сам. Наш DHCP был настроен на аренду адресов на 1 день по причинам, которые мне так и не объяснили. Я установил это значение обратно на 7 дней, чтобы дать DNS шанс «наверстать упущенное», прежде чем адреса снова изменятся, но мы по-прежнему получаем неверные записи DNS.

Я что-то пропустил или сделал что-то глупое?
Наши настройки теперь представляют собой смесь того, что было раньше (что не работало), и того, что я почерпнул из документации MS.

DC1 имеет DNS-серверы, настроенные как сам, а DC2 (первичный и вторичный)
DC2 имеет DNS-серверы, настроенные как DC1 и себя (первичный и вторичный)

Вы можете включить очистку.

И, пожалуйста, проверьте это ниже:

Если вы выберете «всегда динамически обновлять записи DNS»,

вам еще нужно настроить учетные данные и добавить сервер в группу DnsUpdateProxy.

Для вас есть контрольный список:

1 На всех машинах следует использовать ТОЛЬКО внутренние DNS-серверы. Любой адрес интернет-провайдера приведет к сбою
2 Если какой-либо из контроллеров домена является многосетевым (установлено несколько сетевых адаптеров, несколько IP-адресов и/или RRAS), более чем вероятно, произойдет сбой, а также возникнут другие серьезные проблемы
3 Первичный суффикс DNS ДОЛЖЕН совпадать с именем зоны в DNS
4 Для зоны в DNS ДОЛЖНЫ быть разрешены обновления
5 Если для обновлений зоны установлено значение Только безопасно, машины ДОЛЖНЫ быть объединены для работы, в противном случае DHCP-сервер должен быть настроен с учетными данными или объект DHCP-сервера должен быть добавлен в группу DnsProxyUpdate
6. Имя зоны AD DNS не может быть именем с одной меткой («ДОМЕН» = плохо, «domain.com» = хорошо)
Дополнительную информацию о динамическом обновлении DNS см. в следующей статье:

Обратите внимание: поскольку веб-сайт не находится на хостинге Microsoft, ссылка может быть изменена без предварительного уведомления. Microsoft не гарантирует точность этой информации.

динамически обновлять записи DNS только по запросу клиента DHCP И всегда динамически обновлять записи DNS

С наилучшими пожеланиями,
Фрэнк

  • Предложено в качестве ответа frank_song Microsoft contingent staff четверг, 15 февраля 2018 г., 8:51

Здравствуйте!
Просто проверяю, была ли предоставленная информация полезной. Сообщите нам, если вам нужна дополнительная помощь.

Была ли ваша проблема решена?

Если вы решили проблему с помощью нашего решения, отметьте ее как ответ, чтобы помочь другим участникам сообщества быстро найти полезный ответ.
Если вы решаете проблему с помощью собственного решения, поделитесь своим опытом и решением здесь. Это будет очень полезно для других членов сообщества, у которых есть подобные вопросы.
Если нет, ответьте и сообщите нам текущую ситуацию, чтобы оказать дальнейшую помощь.

С наилучшими пожеланиями,
Фрэнк

Извините, что меня не было.

Что вы имеете в виду под:

"вам еще нужно настроить учетные данные и добавить сервер в группу DnsUpdateProxy."

Если я включу очистку, сколько дней это должно быть? Должна ли она обычно быть включена?

Создайте выделенную учетную запись пользователя и настройте серверы DHCP с ее учетными данными в следующих случаях:

DHCP-сервер настроен на выполнение динамических обновлений DNS от имени DHCP-клиентов.

Контроллер домена настроен для работы в качестве DHCP-сервера. Без специальной учетной записи пользователя безопасные обновления не будут работать.

Зоны DNS, которые должны обновляться DHCP-сервером, настроены на разрешение только безопасных динамических обновлений.

Подробнее о группе DnsUpdateProxy см. ниже

>>Если я включу очистку, сколько дней это должно быть? Должна ли она обычно быть включена?

В соответствии с вашей конфигурацией он работает не менее 14 дней.

Подробнее об очистке см. здесь

Просто проверьте ситуацию по вашей проблеме.

С наилучшими пожеланиями,
Фрэнк

Попробую кое-что из этого завтра и отпишусь.

Была ли ваша проблема решена?

Если вы решили проблему с помощью нашего решения, отметьте ее как ответ, чтобы помочь другим участникам сообщества быстро найти полезный ответ.
Если вы решаете проблему с помощью собственного решения, поделитесь своим опытом и решением здесь. Это будет очень полезно для других членов сообщества, у которых есть подобные вопросы.
Если нет, ответьте и сообщите нам текущую ситуацию, чтобы оказать дальнейшую помощь.

С наилучшими пожеланиями,
Фрэнк

Кажется, он все еще там. Я проверил журналы DHCP, и вот такие журналы, которые я вижу, выглядят нормально:

Как упоминалось в заголовке, я поручил своему клиенту обновить свои записи DNS A, чтобы они указывали на мой новый IP-адрес сервера 3 дня назад. Регистратором домена является Heart Internet, и клиент предоставил мне фактический снимок экрана страницы, показывающий, что записи (*, @, www) A действительно указывают на мой новый сервер, но я не вижу никаких изменений в каких-либо записях DNS, используя различные инструменты, такие как whatsmydns.

И старый, и новый серверы работают под управлением Ubuntu 12. Старый сервер работает с использованием Nginx, а новый — с использованием Apache2.

Я понятия не имею, почему это происходит, потому что с помощью другого регистратора я успешно обновил записи DNS для других клиентов, которые правильно указывают на новый сервер.

Если я не смогу решить проблему с помощью совета, я укажу здесь IP/доменное имя.

Скорее всего, это связано с тем, что серийный номер зоны не изменился, поэтому предыдущая запись кэшируется. Когда вы выполняете «nslookup» в SOA, дает ли он правильный ответ?

Эхо-запрос SOA с помощью nslookup дает тайм-аут. Очень странно, я использовал запись SOA из информации, собранной с помощью сайта «intoDNS». (для ns1) со снимка экрана, предоставленного клиентом.

3 ответа 3

Нередко серверы имен существуют не в регистраторе, а где-то еще. Многие веб-хостинговые компании советуют клиентам перенести свои серверы имен в веб-хостинговую компанию (некоторым может даже потребоваться это, хотя нет технических требований к веб-хостингу для размещения DNS). Многие «индивидуальные» веб-хостеры также советуют своим клиентам переместить свои серверы имен (глупо, потому что веб-хостинги обычно не умеют размещать DNS и, вероятно, не должны этого делать).

ИЗМЕНИТЬ

Я считаю, что эта тема смущает многих людей, поэтому я хотел бы прояснить несколько моментов:

При регистрации доменного имени обычно участвуют четыре основных компонента/объекта:

<р>1. Регистратор — здесь регистрируется домен. Регистратор имеет высшие полномочия в отношении доменного имени (регистрация, продление, приостановка).

<р>2. Хост DNS — здесь находятся серверы имен, зона DNS и записи. Какие серверы имен являются авторитетными для доменного имени?

<р>3. Веб-сайт — Где находится веб-сайт?

<р>4. Электронная почта – куда отправляется электронная почта для домена?

На современном рынке, где поставщики услуг хотят "быть всем для всех", нередко один и тот же объект обрабатывает все четыре компонента, но для этого нет технических требований.

Например: у меня есть несколько доменных имен, зарегистрированных через Network Solutions. Сетевые решения являются регистратором, и, если я выберу, они также могут разместить мое пространство имен DNS (зона DNS для моего доменного имени — здесь находятся авторитетные серверы имен), они также могут разместить мой веб-сайт и мою электронную почту, если я так выберу. . Но это не требование. Моя зона DNS (опять же, авторитетные серверы имен) размещена на DynDNS. Я сам размещаю свои веб-сайты и электронную почту. Итак, вы видите, что в моем случае задействованы три разные организации: 1. Network Solutions, которая является регистратором. 2. DynDNS, который размещает зону DNS для моего домена. 3. Я, у которого размещены мои веб-сайты и моя электронная почта.

Суть всего этого в том, что серверы имен могут размещаться у любого, кто предоставляет эту услугу. Это не обязательно должен быть регистратор. Это может быть и часто является сущностью, на которой размещается веб-сайт.В вашем случае похоже, что 1 и 1 размещали веб-сайт в какой-то момент, и, вероятно, клиент переместил свои серверы имен на 1 и 1.

Изменение IP-адреса компьютера (Windows 7) на статический IP-адрес приведет к обновлению DNS (Windows Server 2008 R2). Но изменение IP обратно на динамический не приведет к обновлению DNS. Это не относится к другим компьютерам в сети, которые заставят DNS обновляться при любом изменении IP. Я сравнил настройки безопасности хоста (A) проблемного компьютера с настройками безопасности хоста (A) другого компьютера. Я точно сопоставил их, за исключением того, что дал соответствующим компьютерам полный контроль над хостами (A). Единственный способ обновить DNS после того, как DHCP выдал ему IP-адрес, — выполнить ipconfig /registerdns.

ecspringer710

Угрозы кибербезопасности и потребность в надежном резервном копировании

2022-03-29 18:00:00 UTC Вебинар Вебинар: Spanning — угрозы кибербезопасности и потребность в надежном резервном копировании Сведения о событии Просмотреть все события

Похоже, DHCP не имеет права обновлять DNS (по крайней мере, для некоторых машин). У меня это произошло в моей последней среде, и я создал учетную запись DNSupdate, единственной целью которой было обновление DNS. Не могу найти статью прямо сейчас, но это сделало DHCP и DNS идеальными.

22 ответа

Этот человек является проверенным специалистом

Jay6111

Компьютер не получит обновленный DNS с DHCP-сервера, пока не истечет срок аренды, который по умолчанию составляет семь дней. Вы можете сократить срок аренды, чтобы заставить их получать обновленные настройки DNS.

TcpIP

Со временем это всегда будет получаться.

Я видел проблемы с ноутбуками, переключающимися между локальными и беспроводными сетями, что вызывало проблемы с DNS, но никогда ничего не прекращалось.

ecspringer710

Jay6111 писал:

Компьютер не будет получать обновленный DNS с DHCP-сервера, пока не истечет срок аренды, что по умолчанию составляет семь дней. Вы можете сократить срок аренды, чтобы заставить их получать обновленные настройки DNS.

-Jay

Но почему это верно для одного компьютера, а не для других? Другие компьютеры в сети автоматически обновят DNS, если IP-адрес изменится со статического на динамический.

Этот человек является проверенным специалистом

Jay6111

Необходимо взглянуть на настройки этой конкретной машины, в какой подсети она находится, к какому сетевому оборудованию она подключена, является ли она беспроводной или проводной. и т. д.

ecspringer710

Подсеть предназначена для машины, а сервер — 10.1.10.__ с маской подсети класса C.

Я только что попробовал проводное и беспроводное подключение, и результат был таким же.

DHCP настроен на «Всегда динамически обновлять DNS-записи A и PTR» и на «Отбрасывать записи A и PTR при удалении аренды».

Vella

О скольких компьютерах идет речь? Если это просто пара. может быть, вы могли бы попробовать и повторно добавить компьютер в домен? Полностью удалите компьютер из AD и из DNS.

ecspringer710

Я только что попытался установить для динамических обновлений значение "небезопасное и безопасное" в свойствах зон прямого и обратного просмотра. Это решило проблему. Так что это определенно проблема безопасности. Я просто не знаю, где.

Этот человек является проверенным специалистом

Jay6111

Незащищенный режим позволяет людям, не входящим в домен, регистрироваться в DNS.Безопасный означает, что он будет разрешать обновления только с компьютеров, присоединенных к домену.
Таким образом, либо это не присоединенный к домену компьютер, либо у вас неправильно настроены области вместе с сайтами и службами.

ecspringer710

Велла написал:

О скольких компьютерах идет речь? Если это просто пара. может быть, вы могли бы попробовать и повторно добавить компьютер в домен? Полностью удалите компьютер из AD и из DNS.

Насколько я знаю, проблематична только одна. Хотя есть еще один, который я подозреваю, но у меня не было возможности проверить его сегодня. Как только он станет бесплатным, я его протестирую.

ecspringer710

Jay6111 написал:

Установка незащищенного режима позволяет людям за пределами домена регистрироваться в DNS. Безопасный означает, что он будет разрешать обновления только с компьютеров, присоединенных к домену.
Таким образом, либо это не присоединенный к домену компьютер, либо у вас неправильно настроены области вместе с сайтами и службами.

-Джей

Это определенно машина, присоединенная к домену. Но что вы подразумеваете под сайтами и услугами? Простите меня. Я нуб.

Этот человек является проверенным специалистом

Jay6111

Тогда я бы начал с какого-нибудь старого доброго материала для чтения, чтобы лучше понять технологии, которые в конечном итоге помогут вам обнаружить проблему и решить ее.

ecspringer710

Спасибо! Я ценю это.

Vella

Для просмотра записей вам понадобится диспетчер DNS на контроллере домена. Сайты и услуги — это нечто другое. Если вы можете просто повторно подключить его к домену, это должно решить проблему. Но если нет - попробуйте удалить компьютер из AD и диспетчера DNS.

Похоже, DHCP не имеет права обновлять DNS (по крайней мере, для некоторых машин). У меня это произошло в моей последней среде, и я создал учетную запись DNSupdate, единственной целью которой было обновление DNS. Не могу найти статью прямо сейчас, но это сделало DHCP и DNS идеальными.

Посмотрите эту статью, насколько я помню, учетная запись должна быть только пользователем домена (администратор не требуется)

ecspringer710

Велла написал:

Вы можете использовать диспетчер DNS на контроллере домена для просмотра записей. Сайты и услуги — это нечто другое. Если вы можете просто повторно подключить его к домену, это должно решить проблему. Но если нет - попробуйте удалить компьютер из AD и диспетчера DNS.

Я только что удалил его и повторно присоединил к домену, но, к сожалению, это не решило проблему.

Vella

А.Х. Майк - хорошая идея. Я просто предполагаю, что все системные администраторы знают об этом трюке, ха-ха. У меня такая настройка и почти никогда не бывает проблем с DNS.

Если вы уверены, что затронута только одна система, проблема не в службе DNS или службе DHCP, а в их перспективных записях и аренде.

Выключите затронутую клиентскую систему. Снимите аренду с DHCP, удалите все записи DNS для системы. убедитесь, что изменения DNS были реплицированы. Включите систему и проверьте, правильно ли она обновляется.

ecspringer710

Mike1819 написал:

Похоже, DHCP не имеет права обновлять DNS (по крайней мере, для некоторых машин). У меня это произошло в моей последней среде, и я создал учетную запись DNSupdate, единственной целью которой было обновление DNS. Не могу найти статью прямо сейчас, но это сделало DHCP и DNS идеальными.

Это сделало это! Спасибо!

tachikoma626

Этот человек является проверенным специалистом

тачикома626

tachikoma626

Этот человек является проверенным специалистом

тачикома626

ecspringer710

Одно примечание. если вы используете Windows Server 2008, вы будете нажимать на свойства DHCP/применимого DHCP-сервера/IPv4.

Эта тема заблокирована администратором и больше не открыта для комментариев.

Чтобы продолжить это обсуждение, задайте новый вопрос.

Странные маршруты в таблице маршрутизации

Привет, ребята! Итак, у меня есть вопрос относительно некоторых действительно странных маршрутов в моей таблице маршрутизации. Недавно я перевел свой маршрутизатор Huawei B818 4G в режим моста за pfSense, который теперь является моим основным маршрутизатором. При этом я замечаю эти статические записи, которые появляются и.

Сколько ИБП у вас дома?

Я просто осматривал аккумуляторы (на предмет вздутия и уменьшения времени автономной работы) и решил, что пришло время спросить: Сколько у вас дома? Я запускаю (все APC, потому что это просто «случилось»), лол): 1500 ВА в подвале 2. - разместить стойку Chatsworth 650 в моем домашнем офисе 600 в офисе жены.

Что бы вы сделали?

Итак, я работаю в MSP, который работает круглосуточно и без выходных. Старший инженер в нежелательную смену с 23:00 до 8:00 уходит. Теперь у меня есть возможность перейти на эту должность, насколько больше это потребует компенсации в процентах от того, что я зарабатываю сейчас? и я скажу это.

Щелкни! Lapsus$, Excel RAT, Honda Hackers, Lunar Landers, Windows Easter Egg

Ваша ежедневная доза технических новостей. Вы должны это услышать. Подозреваемые Lapsus$ арестованы за взломы Microsoft, Nvidia, Okta. Больше информации о группе Lapsus$, ответственной за ряд недавних кибератак. Несколько из группы».

Искра! Серия Pro — 25 марта 2022 г.

Friday Из бесплатной энциклопедии Википедии. Другие значения см. в Friday (значения). Пятница — день недели между четвергом и субботой. В странах, принимающих обычай "понедельник-первый".

Читайте также: