Serverul DHCP nu înregistrează înregistrări PTR - mai multe servere DHCP

Am un server DHCP configurat pentru a actualiza mereu dinamic înregistrările DNS. Serverul DNS este configurat pentru a permite atât actualizări sigure, cât și nesigure (știu că nu este sigur, dar aceasta este o rețea doar internă, fără conexiune la internet). Ambele sunt Windows Server 2016.

Un singur domeniu, o singură pădure.

Există o sucursală, care are o subrețea diferită (încă același domeniu), cu un VPN între sediul principal și sucursala. Un alt DC în sucursală, care rulează DHCP (doar pentru sucursală) și DNS (pentru întregul domeniu). Replicarea între DC-urile din birourile principale și sucursale funcționează bine.

Nu există nimic special configurat cu privire la subrețea. Zone de căutare directă și inversă există pentru ambele subrețele din DNS.

Clienții de la biroul principal primesc adrese IP de la DC din biroul principal, iar DNS își actualizează corect înregistrările A și PTR.

Cu toate acestea, în sucursală, în timp ce clienții primesc adrese IP și sunt create înregistrări A adecvate, nu sunt create niciodată înregistrări PTR pentru clienții DHCP. (Numai pentru intrări statice.)

Clienții trimit opțiunea 81 în pachetul de solicitare DHCP, cu FQDN, toate steagurile setate la zero.

Rețineți că permit atât actualizări sigure, cât și nesigure, deci nu ar trebui să fie cauzate de lipsa acreditărilor. Nu am configurat acreditările pentru actualizările DNS, dar nu văd cum ar ajuta acest lucru, deoarece actualizările nesigure sunt permise.

Pe clienți, opțiunea Advanced TCP „Înregistrați adresele acestei conexiuni cu DNS” este bifată (implicit Windows).

Am văzut sugestii pentru a configura fiecare client cu opțiunea „Utilizați sufixul DNS al acestei conexiuni în înregistrarea DNS”. Nu am încercat încă acest lucru, dar nu înțeleg de ce ar trebui să ajute cu ceva. (Trimite FQDN-ul și ar trebui să fie serverul care face înregistrarea DNS.) Și aș dori să evit să configurați toți clienții manual.

Știe cineva dacă acest lucru are legătură cu faptul că există o a doua subrețea în același domeniu?

Și cum aș proceda pentru a-l configura corect, astfel încât DNS / DHCP să înțeleagă ce să fac?

S-a rezolvat prin actualizarea acreditărilor în serverul DHCP pentru sucursala - nu era de fapt legat de mai multe subrețele.

(Faceți clic dreapta pe IPv4 sub numele de domeniu din DCHP Server, selectați Advanced and Credentials, introduceți informații noi despre utilizator/parolă - acesta ar trebui să fie un cont de utilizator neprivilegiat doar în acest scop, parola care nu expiră niciodată și utilizatorul nu poate schimba parola . Spun neprivilegiat - trebuie să fie totuși membru al grupului DnsAdmin.)

Pe acest server DHCP din sucursală (și numai pe acesta), acreditările au fost setate la un cont de utilizator real căruia i-a fost schimbată parola cu luni în urmă.

Deoarece au fost permise actualizări nesigure, autentificarea eșuată nu a contat în mod normal.

De ce a contat, totuși, cred că numele meu de domeniu este pe mai multe niveluri (internal.example.com), iar AD a creat o zonă de căutare directă atât pentru „internal.example.com”, cât și pentru „example.com”. Și în zona „example.com” Actualizări dinamice a fost setată la „Numai sigur”, în timp ce „inernal.example.com” avea „Nesigur și sigur”.

Deci, cumva, faptul că un domeniu părinte nu a putut fi actualizat părea să facă ca actualizarea PTR să eșueze.

(Rețineți că adăugarea serverelor DHCP la grupul DnsUpdateProxy NU a rezolvat problema în acest caz.)