none
Mise à jour DNS en erreur (erreur 31) RRS feed

  • Question

  • Bonjour,

    Sur mon serveur DHCP j'ai enormément d'erreurs 31 de mise à jour des enregistrements DNS (5242 en 1 journée). Pendant plusieurs heures les demandes sont refusées et ensuite en 1sec on a plusieurs réussites (mais 1,2 heures après) pour tous les types d'équipements (pc, imprimantes, iPhone, ...).

    La mise à jour de tous les équipements est choisie pour certaines imprimantes.

    Auriez-vous une idée de ce qu'il se passe ?

    Voici les caractéristiques techniques de notre configuration :

    2 serveurs DHCP à basculement en 2012R2 (50%/50%).

    Un compte de service est utilisé pour le DNS dynamique (renseigné sur les 2 DHCP). Le compte n'est pas verrouillé.

    Le groupe DnsUpdateProxy (recrée à la main peut-être) contient les 2 serveurs DHCP.

    Les baux DHCP sont de 5 jours.

    Le scavenging est configuré en 2+2 et lancé tous les 7 jours depuis un contrôleur unique.

    Pas de protection de nom.

    Pour toutes les étendues, Get-DHCPServerv4DNSsetting :
    DynamicUpdates             : Always
    DeleteDnsRROnLeaseExpiry   : False
    UpdateDnsRRForOlderClients : True
    DnsSuffix                  :
    DisableDnsPtrRRUpdate      : False
    NameProtection             : False

    mercredi 9 septembre 2015 22:39

Réponses

  • Bonjour,

    Le compte utilisé par DHCP pour inscrire les enregistrements PRT ne doit avoir aucun privilège. Il doit être seulement membre du groupe Utilisateurs du Domaine. Il ne doit pas être membre DNSadmin,  "Administrateurs DHCP" et "Utilisateurs DHCP".

    Par Ailleurs, si vous utilisez ce compte, vous n'avez pas besoin de mettre les serveurs DHCP dans le groupe DNSUpdate proxy qui peut rester vide.

    Vous devriez essayer cette configuration :

    De cette façon, les postes Windows membres du domaine sont propriétaire de leur enregistrement 'A' et le compte utilisé par DHCP propriétaire du PTR.

    Pour les autres machines, c'est DHCP qui gère les deux enregistrements et en est le propriétaire.

    Ceci étant, cela doit résoudre le problème de sécurité des enregistrements mais pas forcément votre problème de refus d'octroyer un bail à un client. Il faut donc regarder les journaux journalisé générés par le service DHCP.

    Cordialement,


    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    • Proposé comme réponse Emile Supiot mardi 22 septembre 2015 08:09
    • Marqué comme réponse Emile Supiot lundi 28 septembre 2015 10:55
    vendredi 18 septembre 2015 05:44

Toutes les réponses

  • Bonjour ceooph,

    Je vous invite à consulter cet article en espérant que cela puisse vous aider.

    Cordialement,

    Emile


    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    jeudi 10 septembre 2015 16:20
  • Bonjour,

    Si vous utilisez un compte de mise à jour des enregistrements, vous ne devriez pas mettre vos serveurs DHCP dans le groupe DnsUpdateProxy.

    Avez-vous bien configuré le compte dans l'onglet 'Advanced' des propriétés du serveurs DHCP (il ne faut pas changer le compte dans services.msc) ?

    Pouvez-vous vérifier quelques enregistrements DNS pour vérifier le propriétaire ? Normalement, le client DHCP est propriétaire de l'enregistrement A et le compte renseigné dans les paramètres avancé du serveur DHCP doit être le propriétaire des enregistrements PTR.

    Par ailleurs, suivez les recommandations de l'article indiqué par Emilie.

    Cordialement,


    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    jeudi 10 septembre 2015 17:02
  • Bonjour,

    Merci pour vos réponses.

    J'ai suivi l'article proposé par Emile. Nous étions bien dans ce cas. J'ai appliqué les changements, redémarré tous les services (DNS + DHCP), sur toutes les machines.

    Après restart des services les enregistrements sont ok. Mais au bout de quelques heures ils sont de nouveau tous en échec.

    N'y aurait-il pas une question de taille de file ?

    Merci pour votre aide. Je vous avoue que je sèche !

    Le propriétaire des enregistrements (A et PTR) est le compte de service renseigné dans l'onglet Avancé de DHCP. (Je n'ai pas changé le compte qui fait tourner le service).

    Le compte de service est membre de: DnsUpdateProxy (j'ai enlevé les serveurs DHCP), DnsAdmins, Administrateurs DHCP et Utilisateurs DHCP.

    J'ai augmenté le nombre de tentatives à 4 pour les échec.

    Avez-vous une idée ? Merci à vous.

    Cordialement,

    lundi 14 septembre 2015 14:19
  • Bonjour,

    Le groupe DNSUpdateProxy, s'il est utilisé, ne doit contenir que les comptes des ordinateurs qui exécutent le service DHCP. Il permet de mettre une liste de contrôle d'accès non sécurisée sur les objets DNS créés par DHCP. Le premier qui met à jour un enregistrement (le serveur DHCP ou le client) devient propriétaire de l'objet. C'est surtout utilisé pour les machines Windows avant Windows XP.

    Si vous avez des machines Windows XP ou de version supérieure, l'utilisation du groupe DNSUpdateProxy n'est pas requise. Vous devez plutôt utiliser un compte d'enregistrement DNS Dynamique (dans l'onglet Advanced). Ce compte est un simple compte Active Directory membre du domaine. Il ne doit être ajouté à aucun groupe privilégié. Ce compte devient propriétaire des enregistrements PTR, ce qui est logique car le service DHCP est responsable de l'attribution des adresses IP. Les enregistrement A ont comme propriétaire le compte de la machine cliente.

    Quant au compte qui exécute le service DHCP (dans la MMC services.msc), c'est 'Network Service' et il n'y a aucune raison de le changer.

    Si possible, la zone DNS doit être intégrée à Active Directory en mode 'Secure Only'.

    Pour ce qui concerne les clients qui ne peuvent pas faire d'enregistrement DNS dynamique, il faut utiliser l'option 'Dynamically update DNS records for DHCP clients that do not request updates.

    Si le problème persiste, regardez les journaux dans C:\Windows\system32\dhcp.

    Cordialement,


    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    lundi 14 septembre 2015 16:28
  • Bonjour,

    Merci pour votre réponse. Je suis exactement dans tous les cas que vous citez.

    DnsUpdateProxy ne contient que les 2 serveurs DHCP.

    J'utilise bien un user d'enregistrement DNS dynamique. Configuré sur les 2 serveurs DHCP.

    Ce compte est DNSadmin, et membre des groupes locaux "Administrateurs DHCP" et "Utilisateurs DHCP" des 2 serveurs DHCP.

    Les enregistrements A ont ce compte en proprio !! Ca ne correspond pas à ce que vous m'indiquiez.

    Le service Windows DHCP n'a pas été modifié de la conf par défaut.

    La zone DNS est intégrée à l'AD en mode Secure Only.

    UpdateDnsRRForOlderClientsest bien à True.

    Je regarde les logs mais a part constater qu'il y a des erreurs ...

    Si qq à une piste.

    Merci

    jeudi 17 septembre 2015 22:02
  • Bonjour,

    Le compte utilisé par DHCP pour inscrire les enregistrements PRT ne doit avoir aucun privilège. Il doit être seulement membre du groupe Utilisateurs du Domaine. Il ne doit pas être membre DNSadmin,  "Administrateurs DHCP" et "Utilisateurs DHCP".

    Par Ailleurs, si vous utilisez ce compte, vous n'avez pas besoin de mettre les serveurs DHCP dans le groupe DNSUpdate proxy qui peut rester vide.

    Vous devriez essayer cette configuration :

    De cette façon, les postes Windows membres du domaine sont propriétaire de leur enregistrement 'A' et le compte utilisé par DHCP propriétaire du PTR.

    Pour les autres machines, c'est DHCP qui gère les deux enregistrements et en est le propriétaire.

    Ceci étant, cela doit résoudre le problème de sécurité des enregistrements mais pas forcément votre problème de refus d'octroyer un bail à un client. Il faut donc regarder les journaux journalisé générés par le service DHCP.

    Cordialement,


    Yann Gainche MVP Cloud and Datacenter Management http://www.gainche.net

    • Proposé comme réponse Emile Supiot mardi 22 septembre 2015 08:09
    • Marqué comme réponse Emile Supiot lundi 28 septembre 2015 10:55
    vendredi 18 septembre 2015 05:44