
Ab Windows Server 2008 kann der Microsoft DHCP Service DNS-Einträge für Clients dynamisch aktualisieren. Das funktioniert grundsätzlich ganz gut automatisch, solange (a) man nur einen einzelnen DHCP-Server im Einsatz hat und (b) der DHCP-Service nicht auf dem/einem Domaincontroller läuft.
Werden mehrere DHCP-Server innerhalb der selben Domäne betrieben (zB. für Loadbalancing/Failover) ist es nötig, die Sicherheitseinstellungen des DHCP-Dienstes anzupassen.
Symptom
Ein Indikator für die fehlerhafte Konfiguration sind folgende Einträge im Eventlog von Clients, welche häufig zwischen LAN und WLAN wechseln:
Event-ID: 8018
SourcE: DNS Client Events
Fehler beim Registrieren der Hostressourceneinträge (A oder AAAA) für den Netzwerkadapter mit den folgenden Einstellungen: Adaptername: {... GUID ...} Hostname: <HOSTNAME> Primäres Domänensuffix: <DOMAIN> DNS-Serverliste: <SERVER 1>, <SERVER 2>, ... <SERVER N> Server, an den das Update gesendet wurde: <?> IP-Adresse(n) : <IP-ADRESSE DES CLIENTS> Diese Ressourceneinträge konnten nicht registriert werden, weil der DNS-Server die Updateanforderung verweigert hat. Mögliche Ursachen sind: (a) Sie sind nicht dazu berechtigt den adapterspezifischen DNS-Domänenname zu aktualisieren. (b) Der autoritative DNS-Server unterstützt das Protokoll für das dynamische DNS-Update nicht.
Lösung
- Alle DHCP-Server in die AD-Sicherheitsgruppe „DnsUpdateProxy“ aufnehmen
- In den Eigenschaften aller DHCP-Dienste (im Reiter „DNS“) die Option „Dynamische DNS Updates“ aktivieren und auf „A- und PTR-Einträge immer aktualisieren“ setzen.
- Ebenfalls in den DHCP-Eigenschaften (im Reiter „Erweitert“) Zugangsdaten für die dynamischen DNS-Updates eintragen.
- Wenn ein DHCP-Dienst auf einem Domaincontroller läuft oder „DHCP Name Protection“ für einen DHCP-Scope aktiviert ist muss auf den DNS-Servern der zusätzliche Parameter „OpenAclOnProxyUpdates“ auf 0 gesetzt werden. (s. MS TechNet: The DNSupdateproxy group must be secured…)
- Sofern DNS Scavenging aktiviert ist müssen die NoRefresh- und Refresh-Werte (addiert) größer sein als die DHCP Lease-Zeit.