我遇到了一个问题,我们的Windows Server 2003域控制器通过DHCP为我的Windows 7计算机分配了一个IP地址(xxx75),但通过DNS报告了另一个(xxx84)。这会在网络上引起一些有趣的行为。如果更改适配器设置以从DHCP获取IP和DNS地址,则可以访问Internet,但是网络上没有人可以访问我的计算机。如果我将IP手动更改为DNS的含义,则我将无法访问Internet,但是每个人都可以再次访问我的计算机。
我知道我们周围有一些旧的,无效的反向DNS指针(在IP地址上进行反向查询通常会得到多个结果,通常不包括正确的结果),这可能是有原因的,但是我的问题是最近的,无效的反向指针已经存在了很长时间。
怎么回事,如何解决?
Answers:
您是否正确配置了DNS老化和/或DNS清除?就像您自己说的那样,听起来好像您的域控制器上有太多旧的DNS记录。我的建议是研究设置DNS清除,或者至少删除旧的A记录(xxx84),然后出于测试目的而更新工作站的DHCP租约。
DNS清理将定期删除客户端收到DHCP租约时动态生成的旧DNS记录。这是一件好事(TM)。DNS记录只有在实际上是最新的情况下才是好的(并且有用)。拥有一堆指向不再存在的客户的记录是没有用的。
您可能还需要查看DHCP租用TTL,以确保其与DNS TTL和“老化”策略正确匹配。一个人为的例子:如果您的DHCP租用TTL为12小时,而DNS老化政策则要保留记录三周,那么您就容易陷入麻烦。
前面提到的technet博客文章是一个不错的起点。
如上所述,您的问题是计算机的名称→地址DNS查找导致与计算机实际拥有的IP地址不同的IP地址。 这与PTR资源记录无关,资源记录不涉及名称→地址DNS查找。(它们用于地址→名称查找。)清理PTR记录对您陈述的问题没有任何帮助。
解决您问题的方法是找出为什么名称→地址DNS查找不正确。由于使用的是DHCP,因此在DHCP服务器分发租约时,应使用名称→地址映射来动态更新DNS数据库。为了获得最佳结果,可以将一个DHCP服务器配置为直接与DNS服务器通信,前者在授予和续订租约时将更新发送给后者。只有DHCP服务器需要安全权限才能通过动态更新来修改DNS数据。
但是有些人让他们的DHCP 客户端执行此操作。在这种情况下,可能会遇到各种权限问题,例如DHCP客户端没有适当的更新权限,或者无法更新他们没有访问权限或能够劫持特殊用途的数据库中的记录他们不应该声明的域名。域名后缀还存在各种问题,它们可能引起人们的注意。
因此,找出您的DHCP服务器还是DHCP客户端正在将更新发送到(内容)DNS服务器。确保访问控制权允许执行更新的任何人这样做,确保服务器正在接收更新流量,确保名称空间的适当部分是可更新的,确保所有广告内容的DNS服务器都可以实际更新DNS数据库,并确保更新以正确的域名结尾。