Archivo

Archivo para miércoles, 9 de mayo de 2012

Registros DNS, DHCP Server, Name Protection. De locos

miércoles, 9 de mayo de 2012 Sin comentarios

Hola,

Llevo unos días (bueno, son unos meses con días alternos Smile with tongue out) con un pequeño pero desesperante problema de registros DNS, un DHCP Server y cambios de comportamiento con “Name Protection” si lo activo o no.

Os detallo el entorno.

  • Tres controladores de dominio Windows Server 2008 R2 con servicio de DNS
  • Un servidor DHCP también con Windows Server 2008 R2 con usuario definido para registrar las entradas DNS de modo seguro y autorizado en el grupo “DNSProxyUpdate” del AD.
  • El lease de los diferentes scopes del DHCP están configurados entre 1 y 4 horas.
  • Un parque de clientes Windows XP SP3 y Windows 7, tanto físicos como en entorno VDI, que suman unos 1.500 equipos

El problema

Si se usa el servidor DHCP para realizar el registro, éste tarda de 15 a 30 minutos en generar la entrada “Host (A)” en la zona DNS . Esto provoca un problema cuando el bróker de los equipos VDI intenta resolver el nombre de los clientes (necesario para funcionar) dado que no los encuentra y falla.

Se ha intentado forzar el registro automático mediante una política para que sea el propio cliente VDI quien se registre, pero el registro es creado con la cuenta del cliente (el owner) y no con la del DHCP. Esto provoca que cuando se destruyen las máquinas VDI, los registros no son borrados de la zona DNS, lo que provoca que existan muchos registros obsoletos con los problemas de resolución de nombres que eso conlleva.

En el caso de equipos no-VDI esta problemática no se manifiesta (aunque siguen tardando 30 minutos en registrarse en su zona) y el owner del registro DNS es la cuenta definida en el server DHCP.

Para añadir más lío al tema, se habilita la funcionalidad “Name Protection” en el servidor DHCP con lo que se consigue que registro de los clientes (VID y no-VDI) se realice de forma casi instantánea pero sigue siendo el owner de la entrada del DNS la cuenta de máquina y no la definida en el servidor.

También mencionar que se tiene habilitado aging en la zona, pero no scavenging por temas de carga en los DCs (aunque sería factible activarlo.

La solución

Qué solución hemos aplicado para tener lo que queremos como es que el DHCP registre en el DNS de modo casi instantáneo las entradas correspondientes a cada equipo?

Sencillo: abrir un caso con Microsoft Hot smile

 

Saludos,

Marc

P.D: Seguiremos informando…