Vraag & Antwoord

Aanleg, installatie, instellingen

DHCP, DNS, Windows 2003 en XP probleem

Anoniem
None
26 antwoorden
  • Op mijn netwerk draait Windows 2003 met AD.
    De cliënts draaien Windows XP pro en krijgen hun IP adres van de DHCP server van 1 van de domaincontrollers. Dit adres wordt vervolgens in de DNS geregistreerd. Dit wordt dynamisch geupdated.
    Nu komt het alleen voor dat als cliënts langere tijd uit staan hun registratie in de DNS server blijft staan, maar dat de DHCP server wel dat IP adres aan een andere cliënt geeft. Deze cliënt krijgt vervolgens de melding dat er al een andere PC op het netwerk is met dat IP adres. In de DNS server staat dan ook "BAD ADDRESS".
    De enige manier om dit op te lossen is door handmatig het IP adres zowel uit de DHCP als DNS server te verwijderen. Dit lijkt mij alleen niet de bedoeling van dynamische updates…

    Hieronder een plaatje van de instelling van de dhcp server:

    [img:122d5cb70d]http://members.chello.nl/a.winkel4/werk/dhcp-dns.jpg[/img:122d5cb70d]
  • Wat staat er bij de DNS properties van de NICs van je clients ingesteld?

    En Sander, poets even de naam van je werkgever uit de screenshot weg, je geeft wel erg veel info weg op deze manier…
  • Bedankt voor het even opmerkzaam maken van de naam van mijn werkgever in het plaatje. Had het zelf niet opgemerkt. :-)

    Bij de dns properties van de cliënts staan de ip-adressen van de beide domaincontrollers omdat op beide een dns server draait.
  • Staat daar ook dynamic DNS update aan? In mijn herinnering moet OF het werkstation OF de DHCP server "on behalf of" de registratie in DNS verzorgen.

    Volgens mij is nu de client machine de 'eigenaar' van het record in DNS en loopt de DHCP server tegen een probleem aan (of andersom?).
  • De instellingen op de cliënt staan als volgt:

    [img:cbd78552fd]http://members.chello.nl/a.winkel4/werk/dhcpclient.jpg[/img:cbd78552fd]

    Lijkt mij helemaal oké eigenlijk.
    Of bedoel je dat of op de dhcp server moet aanstaan dat hij de verbindingen in de dns registreert of op de cliënt?
    Volgens mij doen ze het nu beide als ik het zo zie…
  • [quote:7cac7faaed="awinkel"]Of bedoel je dat of op de dhcp server moet aanstaan dat hij de verbindingen in de dns registreert of op de cliënt?
    Volgens mij doen ze het nu beide als ik het zo zie…[/quote:7cac7faaed]Precies. Het gemakkelijkst is wanneer je het op de DHCP server uitzet, lijkt me. Of je moet het middels een GPO op alle clients uitzetten.

    Dat lost waarschijnlijk niet het probleem in 1 keer op; de huidige records in DNS behouden voorlopig hun eigenaar, totdat je ze evt. handmatig verwijderd en opnieuw laat aanmaken door 1 van de 2.
  • Ik heb nu via een GPO de instelling op de cliënts uitgezet en wacht de komende tijd even af hoe het gaat. Ik hoop dat het opgelost is.
    In ieder geval bedankt voor je hulp!
  • Indien je DNS-zone AD intergrated is en je hebt alleen secure updates allowed, dan mag alleen de eigenaar van een dns record die verwijderen. Indien je toestaat dat de dhcp-server de adressen registreert in dns voor de client, mag deze ze ook verwijderen. Als je het dus zo instelt, zouden de adressen verwijdert moeten worden als een pc langere tijd is uitgeweest. Indien je AD niet van buitenaf bereikbaar is, kan je hem natuurlijk om te testen ook even op non-secure zetten.
  • Ik heb het nog even nagelezen en het de meest elegante oplossing is dat je de " Always dynamically update…" instelling omzet naar " Only ….if requested bij DHCP client" of helemaal uit. Dan kun je die GPO achterwege laten. Het gevolg is dat clients zelf hun records updaten in DNS (Want: allemaal XP).

    Maar nogmaals, je zal nog e.e.a. handmatig moeten corrigeren voor de huidige records, omdat de DHCP server daar nu de eigenaar van is. De bovenstaande instelling voorkomt BTW ook dat, wanneer je de DHCP service verhuist naar een andere server, je hetzelfde probleem weer krijgt (DNS records geregistreerd door DHCP server 1 kunnen niet gewijzigd worden door DHCP server 2 in het geval van Secure Dynamic Updates, tenzij je ze aan een bepaalde Security Group toevoegd.)

    Ag, gevonden: [code:1:c3b201c9fa]DNS record ownership and the DnsUpdateProxy group

    As previously described, you can configure a DHCP server so that it dynamically registers host (A) and pointer (PTR) resource records on behalf of DHCP clients. In this configuration, the use of secure dynamic update with DNS servers might cause stale resource records.

    For example, suppose the following sequence of events occurs:

    1. A DHCP server running Windows Server 2003 (DHCP1) performs a secure dynamic update on behalf of one of its clients for a specific DNS domain name.

    2. Because the DHCP server successfully created the name, it becomes the owner of the name.

    3. Once the DHCP server becomes the owner of the name, only that DHCP server can update the DNS records for that name.

    In some circumstances, this can cause problems. For example, if DHCP1 fails and a second backup DHCP server comes online, the second server cannot update the client name because it is not the owner of the name.

    In another example, if the DHCP server performs DNS dynamic updates for legacy DHCP clients (clients running a version of Windows earlier than Windows 2000), and those clients are later upgraded to Windows 2000, Windows XP, or a Windows Server 2003 operating system, the upgraded client cannot take ownership of or update its own DNS records.

    To solve this problem, the built-in security group called DnsUpdateProxy is provided. If all DHCP servers are added as members of the DnsUpdateProxy group, then the records of one server can be updated by another server if the first server fails. Also, because all of the objects that are created by the members of the DnsUpdateProxy group are not secured, the first user (that is not a member of the DnsUpdateProxy group) to modify the set of records that is associated with a DNS name becomes its owner. When legacy clients are upgraded, they can therefore take ownership of their name records at the DNS server. If every DHCP server registering resource records for legacy clients is a member of the DnsUpdateProxy group, the problems discussed earlier are eliminated.

    You can configure the DnsUpdateProxy security group through Active Directory Users and Computers.[/code:1:c3b201c9fa]
    http://technet2.microsoft.com/WindowsServer/en/library/e760737e-9e55-458d-b5ed-a1ae9e04819e1033.mspx?mfr=true
  • Nadeel van het zelf laten registreren door een client is dat indien hij langere tijd niet aan gaat, de dns-record ook niet verwijdert wordt, immers alleen de client kan dat. Waarom niet gewoon de dhcp-server de dns-entry's laten registreren of zowel secure als non-secure updates toestaan (mits je AD niet van buitenaf toegankelijk is)
  • [quote:4806ce77d8="Venzent"]Nadeel van het zelf laten registreren door een client is dat indien hij langere tijd niet aan gaat, de dns-record ook niet verwijdert wordt, immers alleen de client kan dat. Waarom niet gewoon de dhcp-server de dns-entry's laten registreren of zowel secure als non-secure updates toestaan (mits je AD niet van buitenaf toegankelijk is)[/quote:4806ce77d8]Tja, dat kan, maar waarom zou je non-secure gebuiken in een 2003/XP only omgeving? Nou weet ik toevallig dat ze nog een paar verdwaalde UNIX bakken gebruiken, maar daar zijn handmatig records voor aan te maken. En stale records kun je weer automatisch laten opruimen m.b.v. scavenging.

    Het zal linksom of rechtsom iig wel lukken lijkt me.
  • [quote:0474e90f49="Captain_Kansloos"]En stale records kun je weer automatisch laten opruimen m.b.v. scavenging.

    Het zal linksom of rechtsom iig wel lukken lijkt me.[/quote:0474e90f49]
    Ja, maar het lijkt erop dat het daar juist fout gaat, immers clients die langere tijd uit zijn, behouden hun registratie in DNS. Het lijkt er dus op dat het verwijderen van de entry's in DNS niet goed werkt. Indien de client hem zelf geregistreerd heeft, kan alleen die hem ook weer verwijderen. Daar komt nou juist het mooie van "register on behalf" om de hoek kijken, indien de DHCP-server voor de clients registreert, is die de eigenaar en mag dus na het verlopen van de lease de dns-entry zelf verwijderen.
  • [quote:50a303e5d0="Venzent"]Ja, maar het lijkt erop dat het daar juist fout gaat, immers clients die langere tijd uit zijn, behouden hun registratie in DNS.[/quote:50a303e5d0]M.i. komt dat omdat de instellingen op client en DHCP server in conflict zijn met elkaar. Op zich werkt het allemaal wel, maar staat het verkeerd ingesteld (EN-EN ipv OF-OF). Uiteraard is jouw oplossing ook valide; het ligt er maar aan wat je kiest.
  • [quote:4193d56797="Captain_Kansloos"]M.i. komt dat omdat de instellingen op client en DHCP server in conflict zijn met elkaar.[/quote:4193d56797]
    Een client registreerd zichzelf in DNS, tenzij de DHCP-server ingesteld staat om het te doen. Dit kan nooit in conflict zijn met elkaar.
  • Ik kies er toch liever voor om de DHCP server alles te laten regelen. Zo blijft het beheer centraal en voorkom je dat leases langer in de DNS staan dan nodig.
    Alleen moet dan ik nog even de 2e DHCP server die nu standby staat rechten geven voor de records van de 1ste DHCP server.
    Bedankt voor het meedenken.
  • [quote:f819b2ca2e="awinkel"]Ik kies er toch liever voor om de DHCP server alles te laten regelen. Zo blijft het beheer centraal en voorkom je dat leases langer in de DNS staan dan nodig.
    Alleen moet dan ik nog even de 2e DHCP server die nu standby staat rechten geven voor de records van de 1ste DHCP server.
    Bedankt voor het meedenken.[/quote:f819b2ca2e]
    Beide dhcp-servers in de dnsupdateproxy-groep (ofzo) zetten.
  • Heb ik inmiddels gedaan en ik verwacht dat het probleem nu eigenlijk weg moet blijven. Ik zal over een week wel even een update geven.
  • Inmiddels zijn we een tijdje verder en blijkt het toch nog niet allemaal lekker te werken. Het staat nog steeds zo ingesteld dat de cliënts zich niet mogen registreren in de DNS, maar dat de DHCP server dit hoort te doen…alleen…doet de DHCP server dat niet. Momenteel staan er dus erg weinig cliënts in de DNS geregistreerd.
    Iemand nog een idee hoe dit kan of is het bug nummer zoveel van mickeysoft? :-?
  • Even de authorisatie van de DHCP uit AD verwijderen en opnieuw authoriseren?
  • Probleem is opgelost. Bij de advanced options van de dhcp server heb ik het administrator account opnieuw in moeten vullen waarna het weer werkte. Ik vermoed dat de dhcp server na het wijzigen van het administrator wachtwoord een tijd terug al niks meer in de dns heeft kunnen zetten, maar dat dit niet opgemerkt is omdat de cliënts zich ook mochten registreren.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.