none
DHCP-Server Enregistrement DNS refusé RRS feed

  • Question

  • Bonjour,

    je m'en remets à vous concernant une erreur d'enregistrement DNS sur mon serveur DHCP.

    Microsoft-Windows-DHCP Server Events/Admin 20322

    Échec de l’inscription de l’enregistrement PTR de l’adresse IPv4 [[X.X.X.X]] et du nom de domaine complet FQDN avec l’erreur 9005 (Opération DNS refusée.).

    Voici l'environnement :

    Windows Server 2016 : DHCP en failover avec un autre de même config

    

    Windows Server 2012 R2 : DC + DNS

    Je ne vois pas où peut-etre l'erreur car le DHCP fonctionne parfaitement, le basculement aussi.

    Dans les fichiers de LOGS du DHCP, je vois bien des erreurs de mise à jour DNS

    31,05/06/20,09:21:02,Échec de la mise à jour DNS,X.X.X.X,FQDN,,,0,6,,,,,,,,,9005

    Faut-il donner les droits dans la zone DNS en question pour le compte utilisé dans la config DHCP pour les mises à jours dynamiques ?

    Izhocell

    mercredi 6 mai 2020 07:58

Réponses

  • Bonjour Izho_cell

    Peux-tu vérifier sur un enregistrement type Host qui ne se met pa sà jour qui est le "owner"?

    3 cas peuvent se présenter :

    • Si c'est bien un de tes serveurs DHCP qui a procédé à la création de l'enregistrement : tu dois avoir le compte dhcndnsupdate comme owner.
    • Si l'enregistrement était préexistant avant que tu utilise un ecomte de domaine et que l'enregistement a été effectué par un serveur DHCP : tu dois avoir le compte machine du dhcp server qui a procédé à l'enregistrement (un truc comme ServerDHCP$)
    • Si l'enregistrement a été créé par le client, le owner doit être la machine cliente.

    Si tu tombes, comme je le pense, dans un des 2 derniers cas, supprime l'enregistrement. Les DHCP le recréront au prochain renouvellement de bail de l'host ... et ils seront alors les owner (ou plutôt le comte dhcndnsupdate).

    Mais que va-t-il se passer durant l'intervalle de temps avant que l'entrée host ne soit récréée dans le DNS ? Ca dépend des hosts concernés.

    • Si c'est des serveurs, cela peut être génant pour le fonctionnement de certains applicatifs ou pour certains clients pour résoudre le nom. Nettoyage du DNS à planifier avant un reboot par ex.
    • SI ce sont de spostes de travail. Cela dépend encore une fois de ton environnement. Si tu as des applis (type SCCM) qui s'appuient sur le DNS pour atteindre leur agent, tu es dans le même cas que ci-dessus. Mais cela aura probalement moins d'impact (demain, c'est férié et veille de WE, les postes seront probablement éteints ce soir). Tu fais un nettoyage DNS en fin de joournée et lundi ça repart nickel.

    cordialement$

    Olivier

    • Marqué comme réponse Izho_cell lundi 18 mai 2020 11:33
    jeudi 7 mai 2020 12:54

Toutes les réponses

  • Bonsoir,

    avez-vous créé les zones "reverses" correspondant aux adresses IP ?

    Les enregistrements de type "A" s'enregistre dans la zone du domaine AD qui est créée automatiquement. Il s'agit de la résolution/recherche à partir du Nom pour obtenir l'adresse IP. (Zones de recherche directes/forward)

    Les enregistrements de type "PTR" correspondent à la résolution/recherche à partir de l'adresse IP pour donner le nom. 'Zones de recherche inversée"

    Malheureusement, les zones dites "reverses" ne sont pas créées par les assistants Microsoft, car non nécessaires au fonctionnement du domaine AD.

    Pour un adressage IP 192.168.1, la zone "reverse" qui doit être créée sera  "1.168.192.in-addr-arpa".

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    mercredi 6 mai 2020 20:02
  • Bonjour,

    Oui les zones reverse sont bien créées

    jeudi 7 mai 2020 06:57
  • Bonjour,

    Oui les zones reverse sont bien créées

    Bonjour,

    en mode intégrée à AD ? 

    Mode sécurisé ou non sécurisé?

    Si la zone est intégrée à AD en mode sécurisé, le compte AD (autorisé sans expiration) est plus que souhaitable.

    A bientôt,

    PS: je suppose que les zones DNS sont bien intégrées, et non en mode Primaire/Secondaire


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info


    jeudi 7 mai 2020 10:08
  • Bonjour Izho_cell

    Peux-tu vérifier sur un enregistrement type Host qui ne se met pa sà jour qui est le "owner"?

    3 cas peuvent se présenter :

    • Si c'est bien un de tes serveurs DHCP qui a procédé à la création de l'enregistrement : tu dois avoir le compte dhcndnsupdate comme owner.
    • Si l'enregistrement était préexistant avant que tu utilise un ecomte de domaine et que l'enregistement a été effectué par un serveur DHCP : tu dois avoir le compte machine du dhcp server qui a procédé à l'enregistrement (un truc comme ServerDHCP$)
    • Si l'enregistrement a été créé par le client, le owner doit être la machine cliente.

    Si tu tombes, comme je le pense, dans un des 2 derniers cas, supprime l'enregistrement. Les DHCP le recréront au prochain renouvellement de bail de l'host ... et ils seront alors les owner (ou plutôt le comte dhcndnsupdate).

    Mais que va-t-il se passer durant l'intervalle de temps avant que l'entrée host ne soit récréée dans le DNS ? Ca dépend des hosts concernés.

    • Si c'est des serveurs, cela peut être génant pour le fonctionnement de certains applicatifs ou pour certains clients pour résoudre le nom. Nettoyage du DNS à planifier avant un reboot par ex.
    • SI ce sont de spostes de travail. Cela dépend encore une fois de ton environnement. Si tu as des applis (type SCCM) qui s'appuient sur le DNS pour atteindre leur agent, tu es dans le même cas que ci-dessus. Mais cela aura probalement moins d'impact (demain, c'est férié et veille de WE, les postes seront probablement éteints ce soir). Tu fais un nettoyage DNS en fin de joournée et lundi ça repart nickel.

    cordialement$

    Olivier

    • Marqué comme réponse Izho_cell lundi 18 mai 2020 11:33
    jeudi 7 mai 2020 12:54
  • Bonjour Thierry,

    Oui les zone sont intégrées à l'AD et les updates dynamiques en mode sécurisé uniquement.

    lundi 11 mai 2020 09:27
  • Bonjour Olivier,

    Je viens de faire le test sur un poste de travail en erreur dans le DHCP

    Le owner est le poste en question

    J'ai configuré le nettoyage automatique des enregistrements DNS, cependant ca ne fonctionne pas. J'ai toujours de vieux enregistrements et dans les logs ca me dit :

    Le serveur DNS a terminé un cycle de nettoyage, mais aucun nœud n’a été visité. 

    J'ai pourtant configuré le vieillissement comme suit :

    Intervalle de non-actualisation : 1j

    Intervalle d'actualisation : 1J

    lundi 11 mai 2020 09:44
  • En général les postes clients créé leur enregistrement A et les options par défaut sont :

    Si tu utilises toujours mettre à jour, c'est le serveur DHCP qui est propriétaire des enregistrements et qui peut le mettre à jour. Si c'est un autre serveur DHCP, il ne pourra faire la mise à jour car il n,'est pas propriétaire.

    Pour le nettoyage des zones DNS,  il faut redémarrer les services de mémoire  sinon tu as des évenements avec 0 nettoyage


    lundi 11 mai 2020 15:21
  • J'ai bien les mêmes paramètres, j'ai aussi activé la protection des noms.

    J'ai ajouté mes deux serveurs DHCP (configuré en failover) dans le groupe DNSUpdateProxy

    Ce que je trouve bizarre avec ce groupe c'est qu'il n'est dans aucun autre groupe, et que je ne le retrouve nul part dans la sécurité de mes zones DNS.

    Est-ce normal ?

    J'utilise aussi un compte pour effectuer mes mise à jour dynamiques sur mon DHCP. Faut-il que je mette ce compte dans le groupe DNSUpdateProxy ou bien que que lui donne des droits dans les Zones DNS afin qu'il puisse créer et update des enregistrements ?

    Je n'ai pas redémarrer le service DNS. Je vais essayer, car je pense que le nettoyage résoudra pas mal de mes soucis.

    lundi 11 mai 2020 17:14
  • Sur ta première image, tu as toujours mettre à jour et pas juste si le client demande. Sauf que pour que ca marche il faut déjà supprimer le conflit avec l'enregistrement actuel, ou la machine en question n'est pas propriétaire de l'enregistrement, et si en plus le nettoyage n'a pas supprimer les enregistrement obsolètes les nouveaux ne peuvent être créés.

    lundi 11 mai 2020 19:43
  • D'accord, je comprends mieux maintenant.

    Il faut donc que j'arrive à nettoyer les vieux enregistrement DNS

    Quand j'essaye de lancer un cycle de nettoyage a la main via :

    Ca ne fonctionne toujours pas, je retrouve toujours dans les logs ce genre d'information :

    Pour information j'ai redémarré le service DNS hier soir.

    Afin de config le vieillissement, je suis passé sur chaque zone pour l'activer mais je suis aussi passer par là :

    Ca devrait fonctionner, enfin, normalement

    mardi 12 mai 2020 07:39
  • Bonjour,

    comme disait Philippe, un nettoyage manuel est parfois nécessaire. Les entrées statiques ou possédées par d'autres périphériques ne peuvent pas être écrasées sans modification des permissions. La suppression (manuelle) est alors l'option la plus simple.

    Ensuite, il faut vérifier qu'un nouvel enregistrement se passe bien... ainsi que son retrait automatique.

    A bientôt,


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(89 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate,Modern Desktop Administrator Associate, Security Admin https://base.faqexchange.info

    mardi 12 mai 2020 13:16
  • Bonjour,

    je ne sais pas si le fait de nettoyer toutes les anciens enregistrement lui a fait du bien ou pas. En tout cas ça fonctionne maintenant.

    J'ai un DNS tout propre et plus aucun message d'erreur dans le DHCP

    Merci

    lundi 18 mai 2020 11:32