Windows 2003 DNS pakt IP adres niet op van Linux machine

Status
Niet open voor verdere reacties.
J

JanEnEm

Verenigingslid
Lid geworden
10 feb 2008
Berichten
122
Ik heb een (tweetal) WIndows 2003 DNS servers, die tegelijkertijd ook DHCP server en AD server zijn. De DHCP servers bedienen elk een eigen reeks IP adressen. Wanneer ik (vanuit een gevirutaliseerde!) omgeving (VMware workstation) eeen VM met daarop Linux software een DHCP adres laat aanvragen, wordt dat netjes door een van de DHCP servers verstrekt. De DNS server daarentegen vermeldt de nieuwe machine niet. Hierdoor is de Linux machine alleen maar via IP adres (of vermelding in de host file, maar dat is ondoenlijk met wisselende IP-adressen) te bereiken. Het vervelende is, dat wanneer een andere machine ooit dat IP adres heeft gehad, de DNS dat nog onthouden heeft, met alle gevolgen van dien.

Heeft iemand een suggestie waar hem dat in zit?
Ben ik fout? is Microsoft fout? of is er iets mis in het netwerk?
 
Dit is normaal.

In de eerste plaats zou je kunnen proberen of de niet-MS-clients zelf hun A-records in de zone aanmaken/updaten. Dat kun je doen door Nonsecure And Secure updates op de zone toe te staan. (Bij Secure Only kunnen alleen W2000, XP en Vista clients de A-records aanmaken/updaten).

Werkt dit niet, dan kun je de DHCP server de A-records laten vullen.

Uit het boek:
MCSA/MCSE Self-Paced Training Kit (Exam 70-291): Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure [J.C. Mackin, Ian McLean, 2003]

Dynamic Updates The General tab also allows you to configure a zone with dynamic
updates in resource records. As shown in Figure 5-18, three dynamic update settings
are available for Active Directory–integrated DNS zones: None, Nonsecure And Secure,
and Secure Only. For standard zones, only two settings are available: None and Non-secure
And Secure.

When you select the None setting in the properties for a zone, you must manually perform
registrations and updates to zone records. However, when you enable either the
Nonsecure And Secure setting or the Secure Only setting, client computers can automatically
create or update their own resource records. This functionality greatly
reduces the need for manual administration of zone records, especially for DHCP clients
and roaming clients.


Secure Dynamic Updates and the DnsUpdateProxy group
When only secure dynamic updates are allowed in a zone, only the owner of a
record can update that record. (The owner of a record is the computer that originally
registers the record.) This restriction can cause problems in situations where
a DHCP server is being used to register host (A) resource records on behalf of client
computers that cannot perform dynamic updates. In such cases, the DHCP
server becomes the owner of the record, not the computers themselves. If the
downlevel client computer is later upgraded to Windows 2000 or some other
operating system that is capable of performing dynamic updates, the computer
will not be recognized as the owner and will consequently be unable to update its
own records. A similar problem might arise if a DHCP server fails that has registered
records on behalf of downlevel clients: none of the clients will be able to
have their records updated by a backup DHCP server.
To avoid such problems, add to the DnsUpdateProxy security group DHCP servers
that register records on behalf of other computers. Members of this group are prevented
from recording ownership on the resource records they update in DNS.
This procedure consequently loosens security for these records until they can be
registered by the real owner.
Klik om te vergroten...

Succes,

Tijs.
 
Laatst bewerkt:
Security breach of niet?

Wanneer je de DNS setting voor DynUpdate instelt, zoals wordt voorgesteld door Tijs (sta ook non-secure toe), ontstaat er een situatie, die in mijn ogen tot een veilgiheids breuk zou kunnen leiden: Op die manier wordt ook aan niet geauthoriseerde machine het recht gegeven DNS entries te wijzigen.

Eleganter wellicht is Tijs' 2e suggestie: laat de DHCP server het werk verrichten. Mits dat een geauthoriseerde machine in het domain is, mag worden verondersteld (nou ja, je weet maar nooit), dat alle verzoeken daarvandaan legitiem zijn. Waarom? Over die vraag mooet ik nog nadenken: iederneen met toegang tot de DHCP server kan een adres aanvragen en krijgen ...

Jammer dat Tijs niet aangeeft hoe dat te doen: Ik ben geen gecertificeerde MCSA/E-er en stel assistentie op prijs.
 
Staat er gewoon in:

1. Pas de zone aan dat die alleen Secure updates accepteert.
2.
To avoid such problems, add to the DnsUpdateProxy security group DHCP servers that register records on behalf of other computers. Members of this group are prevented
from recording ownership on the resource records they update in DNS.
This procedure consequently loosens security for these records until they can be
registered by the real owner.
Klik om te vergroten...
Kortom: Voeg de DHCP server(s) toe aan de DnsUpdateProxy groep. Die groep staat onder je domein, in de container Users.
De toe te voegen DHCP server kan natuurlijk (toevallig) ook de DNS server zijn, als de DNS server ook de DHCP server is.

Succes,

Tijs.
 
Tijs,

Dat beeld heb ik hiermee helemaal goed voor ogen gekregen nu.
Een direct, maar to-the-point antwoord. Dank!

Kort extra vraagje:
Ik draai 2 DC/DNS/DHCP servers in het zelfde domein.
Moeten die dan kruiselings in elkaars DnsUpdateProxy komen?

Jan Meijer
 
Laatst bewerkt:
Het is vrij simpel: Je zegt dat je precies 1 domein draait. Concludeer uit mijn vorige posting dat de groep DnsUpdateProxy een domein-brede groep is.
De DNS-zones zullen geheid AD-geïntegreerd zijn, en dus repliceren over alle DNS-servers via de AD. Daar is dus ook geen probleem.

Zet dus alle actieve DHCP servers in die groep DnsUpdateProxy, en het is meteen voor jouw hele domein in orde.

Tijs.
 
Laatst bewerkt:
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan Onderaan