Windows Server

Ab Windows Server 2008 kann der Microsoft DHCP Service DNS-Einträge für Clients dynamisch aktualisieren. Das funktioniert grundsätzlich ganz gut automatisch, solange (a) man nur einen einzelnen DHCP-Server im Einsatz hat und (b) der DHCP-Service nicht auf dem/einem Domaincontroller läuft.

Werden mehrere DHCP-Server innerhalb der selben Domäne betrieben (zB. für Loadbalancing/Failover) ist es nötig, die Sicherheitseinstellungen des DHCP-Dienstes anzupassen.

Symptom

Ein Indikator für die fehlerhafte Konfiguration sind folgende Einträge im Eventlog von Clients, welche häufig zwischen LAN und WLAN wechseln:

Event-ID: 8018
SourcE: DNS Client Events

Fehler beim Registrieren der Hostressourceneinträge (A oder AAAA) für den Netzwerkadapter 
mit den folgenden Einstellungen:

Adaptername: {... GUID ...}
Hostname: <HOSTNAME>
Primäres Domänensuffix: <DOMAIN>
DNS-Serverliste: 
<SERVER 1>, <SERVER 2>, ... <SERVER N>
Server, an den das Update gesendet wurde: <?>
IP-Adresse(n) :
<IP-ADRESSE DES CLIENTS>

Diese Ressourceneinträge konnten nicht registriert werden, weil der DNS-Server die Updateanforderung verweigert hat.
Mögliche Ursachen sind:
(a) Sie sind nicht dazu berechtigt den adapterspezifischen DNS-Domänenname zu aktualisieren.
(b) Der autoritative DNS-Server unterstützt das Protokoll für das dynamische DNS-Update nicht.

Lösung

  1. Alle DHCP-Server in die AD-Sicherheitsgruppe „DnsUpdateProxy“ aufnehmen
  2. In den Eigenschaften aller DHCP-Dienste (im Reiter „DNS“) die Option „Dynamische DNS Updates“ aktivieren und auf „A- und PTR-Einträge immer aktualisieren“ setzen.
  3. Ebenfalls in den DHCP-Eigenschaften (im Reiter „Erweitert“) Zugangsdaten für die dynamischen DNS-Updates eintragen.
  4. Wenn ein DHCP-Dienst auf einem Domaincontroller läuft oder „DHCP Name Protection“ für einen DHCP-Scope aktiviert ist muss auf den DNS-Servern der zusätzliche Parameter „OpenAclOnProxyUpdates“ auf 0 gesetzt werden. (s. MS TechNet: The DNSupdateproxy group must be secured…)
  5. Sofern DNS Scavenging aktiviert ist müssen die NoRefresh- und Refresh-Werte (addiert) größer sein als die DHCP Lease-Zeit.

Quellen: