Как обновить dns записи на сервере

Обновлено: 04.07.2024

Компьютеры Windows обновляют свои записи DNS в доменных зонах, размещенных на DNS-серверах. каждые 24 часа. Когда компьютер Windows удаляется из домена или не может обновить свою DNS-запись на DNS-сервере, DNS-запись этого компьютера Windows остается в базе данных DNS и считается устаревшей DNS-записью. Устаревшие записи DNS остаются в базе данных DNS, если их не удалить вручную. Удаление устаревших данных и очистка DNS помогает быстро определить устаревшие записи DNS и удалить их вручную. В этом посте мы предоставим описание того, что такое устаревание и очистка DNS, а также опишем шаги, необходимые для настройки / включения этой функции на сервере Windows.

Что такое устаревание DNS?

Эти интервалы следующие:

Интервал без обновления: Это период времени, в течение которого невозможно обновить запись ресурса.
. Отказ от обновления в течение этого периода времени снижает трафик репликации, поскольку нет необходимости повторять ту же информацию снова.Интервал обновления

: Это период времени, в течение которого может обновляться запись ресурса.

Зона DNS, в которой существует запись ресурса

По крайней мере, один DNS-сервер, содержащий первичную копию DNS-зоны, в которой существует запись ресурса.
Очистка происходит через повторяющиеся интервалы, если она включена на DNS-сервере. Устаревшая запись ресурса может существовать до следующего цикла очистки DNS.
Если вы не включите устаревание и очистку DNS, вы можете столкнуться со следующими ситуациями:
В доменных зонах будут храниться ненужные записи DNS.
Со временем размер базы данных DNS будет увеличиваться.
Службе DNS-сервера потребуется больше времени для перечисления и загрузки базы данных DNS в память.

Устаревание и очистка DNS

Устаревание и очистка DNS
Устаревание и очистка DNS
Чтобы успешно настроить / включить устаревание и очистку DNS на сервере Windows, вам необходимо выполнить 3 шага в указанном порядке;

Проверьте записи DNS сервера (очень важный первый шаг)

Включение устаревания и очистки DNS в зонах DNS

Включите очистку DNS хотя бы на одном DNS-сервере, на котором размещены основные копии ваших DNS-зон.

Давайте подробно рассмотрим этапы.

1]Проверьте записи DNS сервера (очень важный первый шаг) Этот шаг имеет решающее значение, потому что, если вы сначала не выполните этот шаг, вы можете в конечном итоге удалить записи DNS сервера. В качестве меры предосторожности вы можете также сделать резервную копию своего DNS-сервера и / или записей. Очистка работает с отметками времени, поэтому любая запись DNS с отметкой времени будет обработана и, возможно, удалена. Поэтому рекомендуется проверить записи DNS вашего сервера и убедиться, что они статичны. Чтобы проверить свои записи, откройте консоль DNS и проверьте Отметка времени

столбец, ваши серверы должны быть статическими. Если нет, просто откройте запись и снимите флажок Удалите эту запись, когда она станет устаревшей коробка.

Как только вы это сделаете, обновите консоль DNS, теперь будет отображаться метка времени.

статический

для этой записи.

Проверьте все записи своего сервера и измените их на статические, прежде чем переходить к следующему шагу. 2]Включить устаревание и очистку DNS в зонах DNS.Сделайте следующее: Использование DNS
инструмент администрирования (dnsmgmt.msc), перейдите к свойствам зон DNS и нажмите Старение…
Давать возможность Удалить устаревшие записи ресурсов

установите флажок, укажите интервал без обновления и периоды интервала обновления.

Нажмите OK.
Чтобы включить устаревание и очистку DNS по умолчанию для всех зон DNS на DNS-сервере, необходимо выполнить следующие действия: Щелкните правой кнопкой мыши имя сервера, а затем щелкните Установить старение / очистку для всех зон…
Давать возможность Удалить устаревшие записи ресурсов
установите флажок, укажите интервал без обновления и периоды интервала обновления. Нажмите OK.
Проверить Применить эти настройки к существующим зонам, интегрированным в Active Directory.

поле (это включит устаревание и очистку DNS для существующих зон, интегрированных в Active Directory).

Нажмите

Теперь переходите к следующему и заключительному шагу.
3]Включите очистку DNS хотя бы на одном DNS-сервере, на котором размещены основные копии ваших DNS-зон. Сделайте следующее: Зайдите в свойства вашего DNS-сервера.
Идти к Передовой таб.
Проверить
Включить автоматическую очистку устаревших записей коробка.

После этого укажите период очистки (это периодичность очистки на DNS-сервере).

как еще входить на компы?
вместо имени компа - ip? (для сетевых обращений)
а вместо имени юзера - SID?

вам сударь в пещерный век наверное?

У вас скорее всего в DNS регистрируется сама машина, соответственно владелец DNS записи - аккаунт компьютера.
И другой компьютерный аккаунт его не может перезаписать-ибо нет прав.
Выхода здесь два:
1. Настроить scavenging\aging, чтобы устаревшие DNS записи вовремя удалялись.
2. Использовать в настройках DHCP сервера специальный сервисный AD аккаунт, у которого есть права на создание, удалению и модицификацию DNS записей. Тогда при выдаче адресов DHCP серверов, DNS записи будут создаваться не от имени каждой конкретной машинки, а от имени этого аккаунта. Опишу второй вариант решения подробнее.
1. Создаете в AD сервисный аккаунт типа user.
2. вводите его данные в DHCP консоли в свойствах IPv4

3. Открываете dnsmgmt и свойствах нужных зон во вкладке Security добавляете для аккаунта из пункта 1 права на create\delete all child objects.

Теперь при выдаче адреса через DHCP - DNS имя будет регистрироваться от имени сервисного аккаунта и сможете удалить старые записи.

Смотря кто у вас раздает IP адреса, если это контроллер домена, то вероятно у вас что-то с настройками DNS-сервера на нем.
Как вариант попробуйте поменять время аренды IP адреса в меньшую или большую стороны, в зависимости от текущих настроек.
Захватите запросы и ответы при помощи Wireshark, проанализируйте кто, чего, кому "говорит".
Как себя будут вести проблемные хосты при выполнении команд Win+R-->cmd:

Управление DNS-записями домена (A, AAAA, MX, CNAME, TXT и др.) осуществляется через DNS-хостинг — на серверах имён, куда делегирован домен. Именно там хранятся все записи домена.

Изменение DNS-записей через ISPmanager

Откройте панель ISPmanager и перейдите в раздел Домены — Доменные имена . Выберите нужный домен в списке, сверху «Записи» .

Здесь с помощью кнопок «Создать» , «Изменить» , «Удалить» можно управлять записями домена.

После завершения редактирования записей вернитесь в раздел Домены — Доменные имена , выберите домен, настройки которого менялись, и нажмите сверху «Передать в NSы» . Это немного ускорит процесс обновления записей на наших серверах имён.

Статус обновления можно увидеть на этой же странице в колонке «Состояние» :

Окончательно новые настройки вступят в силу после обновления глобального кэша DNS — оно занимает от 2 до 72 часов.

Изменение DNS-записей через DNSmanager

Откройте панель DNSmanager и перейдите в раздел Главное — Доменные имена . Выберите в списке нужный домен и сверху нажмите «Записи» .

Помните, что редактирование записей в DNSmanager работает только для доменов с типом master . Если у домена тип slave , значит, он создавался через панель ISPmanager, и записи нужно менять оттуда.

В меню «Записи» с помощью кнопок «Создать» , «Изменить» , «Удалить» можно редактировать записи домена. На серверах имён данные обновятся автоматически.

Изменение DNS-записей через ISPmanager

Здесь с помощью кнопок «Создать» , «Изменить» , «Удалить» можно управлять записями домена.

Статус обновления можно увидеть на этой же странице в колонке «Состояние» :

Изменение DNS-записей через DNSmanager

У нас проблема возникла с дублированием записей в обратной зоне PTR DNS. Но для нас не было проблем что они там дублируются . Но после того как внедрили fortigate. Начались проблемы с интернетом. Он там хитро трафик делит. И смотрит в днс.

Решили настроить динамическое обновление dns через DHCP.

Сначала создали учётку srv.dnsupd для доступа dns. И добавили её в группу DnsUpdateProxy.

Включить автоматическую очистку устаревших записей. Оставим по умолчанию 7 дней так как у нас dhcp аренда 8 дней.

Войдите в клиентскую среду и нажмите Пуск > Программы > Администрирование > DNS > Диспетчер DNS .
Щелкните правой кнопкой мыши соответствующий DNS-сервер и выберите « Установить устаревание / очистку для всех зон» .
Убедитесь, что выбрано Очистить устаревшие записи ресурсов .
Установите интервал без обновления и интервал обновления, чтобы общая продолжительность была равна или меньше срока аренды DHCP, и нажмите кнопку ОК .
Например, если срок аренды DHCP составляет 8 дней , значение по умолчанию для каждого поля может составлять 4 дня или меньше.
Выберите Применить эти параметры к существующим зонам, интегрированным в Active Directory , и нажмите ОК .
Щелкните правой кнопкой мыши соответствующий DNS-сервер и выберите « Очистить записи ресурсов состояния», чтобы начать немедленную очистку .

В заданный период времени сервер выполняет поиск записей DNS и удаляет устаревшую информацию.

Также обратите внимание, что рекомендуется настроить параметры «Интервал без обновления» и «Интервал обновления», меньший, чем период аренды DHCP.
Теперь настраиваем DHCP что бы записи в DNS сами обновлялись.

Чтобы настроить динамическое обновление DNS для DHCP-сервера под управлением Windows Server 2003, выполните следующие действия:

Со всеми настроенными здесь вещами мы фактически настроили DHCP-сервер на владение всеми его клиентскими записями на DNS-сервере. Однако мы все еще далеки от завершения, поскольку нам нужно сделать несколько дополнительных шагов.

Добавьте DHCP-сервер в группу безопасности DnsUpdateProxy.

В документации пишут :Если DHCP-сервер находится на другом компьютере, чем контроллер домена, убедитесь, что DHCP-сервер включен в группу DnsUpdateProxy в Active Directory . В противном случае DHCP-сервер не сможет обновлять записи на DNS-сервере.
Но у меня так не заработала на 2016 windows. Я добавил в группу еще контролеры домена. Тогда все норм стало.

Что касается использования группы DnsUpdateProxy, я понимаю, что в эту группу должны входить только DHCP-серверы, а не пользователь динамического обновления DNS. Предполагается, что учетная запись пользователя будет добавлена в конфигурацию DHCP-сервера, а не в группу DnsUpdateProxy.
Группа DnsUpdateProxy предназначена для клиентов DNS. Пользователь не является клиентом, это механизм, используемый клиентом (DHCP-сервером) для динамического обновления DNS, когда включены только безопасные обновления. Клиент остается сервером DHCP.
Когда DHCP-сервер находится на контроллере домена, помимо того, что он входит в группу и добавляет пользователя в конфигурацию DHCP, вам также необходимо отключить OpenACLOnProxyUpdates. Если вы этого не делаете, вы добавляете уязвимость, потому что членство в группе DnsUpdateProxy дает слишком много полномочий над записями DNS.
Некоторые школы считают, что DHCP на контроллере домена не должен быть членом DnsUpdateProxy, а только для пользователя обновления DNS должен быть назначен DHCP. Это может быть верно для более старых версий Windows Server, но для 2012R2 и более поздних версий у меня есть чувство из технических документов, что сервер все еще должен быть в группе DnsUpdateProxy, но из-за того, что он является DC, разрешения членства в этой группе открывают уязвимость.

Итак, если у вас есть DHCP на контроллере домена с включенным безопасным динамическим обновлением DNS, вы должны также выполнить эту команду на контроллере домена, на котором работает DHCP, чтобы его DNS не позволял «чужим» обновлениям изменять записи, принадлежащие DHCP:

Укажите учетные данные для защиты динамического обновления DNS.

Это применимо, если зона DNS, в которой ваш DHCP-сервер будет регистрировать / обновлять записи, является зоной, интегрированной в Active Directory, которая допускает только безопасные динамические обновления .

Вам необходимо указать учетную запись пользователя в свойствах DHCP-сервера . Откройте вкладку « Дополнительно » в свойствах DHCP-сервера и нажмите кнопку « Учетные данные» .

Введите имя пользователя, домен и пароль в доступное поле.
Обратите внимание, что учетная запись может быть учетной записью обычного пользователя без каких-либо специальных привилегий, но она должна существовать в том же лесу, что и DNS-сервер . Вы также можете использовать учетную запись пользователя из другого леса, если его лес установил доверие леса с лесом, в котором находится DNS-сервер.
Таким образом, DHCP-сервер будет по-прежнему арендовать IP-адрес, но не будет создавать DNS-запись, если запись с таким именем уже существует .
Что ж, это почти все, что вам нужно для настройки динамического обновления DNS на DHCP-сервере Windows. С этого момента ваш DHCP-сервер будет заботиться о записях DNS для своих клиентов. DHCP-сервер будет регистрировать и обновлять записи для своих клиентов , а также удаляет записи об истекших сроках аренды . Это гарантирует, что DNS-сервер не будет заполнен записями о неактивных клиентах. Кроме того, вы также можете настроить устаревание и очистку в зоне DNS в соответствии со временем аренды DHCP, и это поможет очистить неиспользуемые записи.

Читайте также: