ฉันมีเซิร์ฟเวอร์ DHCP ที่กำหนดค่าให้อัปเดตระเบียน DNS แบบไดนามิกเสมอ เซิร์ฟเวอร์ DNS ได้รับการกำหนดค่าให้อนุญาตทั้งการอัปเดตที่ปลอดภัยและไม่ปลอดภัย (ฉันรู้ว่ามันไม่ปลอดภัย แต่นี่เป็นเครือข่ายภายในเท่านั้น ไม่มีการเชื่อมต่ออินเทอร์เน็ต) ทั้งคู่เป็น Windows Server 2016
โดเมนเดียว ฟอเรสต์เดียว
มีสำนักงานสาขาซึ่งมีเครือข่ายย่อยที่แตกต่างกัน (ยังคงเป็นโดเมนเดียวกัน) โดยมี VPN ระหว่างสำนักงานหลักและสำนักงานสาขา DC อื่นในสำนักงานสาขา ซึ่งเรียกใช้ DHCP (สำหรับสำนักงานสาขาเท่านั้น) และ DNS (สำหรับทั้งโดเมน) การจำลองแบบระหว่าง DCs ในสำนักงานใหญ่และสำนักงานสาขาทำงานได้ดี
ไม่มีการตั้งค่าพิเศษเกี่ยวกับเครือข่ายย่อย มีโซนการค้นหาไปข้างหน้าและย้อนกลับสำหรับซับเน็ตทั้งสองใน DNS
ลูกค้าในสำนักงานใหญ่จะได้รับที่อยู่ IP จาก DC ในสำนักงานใหญ่ และ DNS จะอัปเดตระเบียน A และระเบียน PTR อย่างถูกต้อง
อย่างไรก็ตาม - ในสำนักงานสาขา ในขณะที่ลูกค้าได้รับที่อยู่ IP และสร้างระเบียน A ที่เหมาะสม จะไม่มีการสร้างระเบียน PTR สำหรับไคลเอนต์ DHCP (สำหรับรายการคงที่เท่านั้น)
ไคลเอนต์ส่งตัวเลือก 81 ในแพ็กเก็ตคำขอ DHCP ด้วย FQDN การตั้งค่าสถานะทั้งหมดเป็นศูนย์
โปรดทราบว่าฉันอนุญาตทั้งการอัปเดตที่ปลอดภัยและไม่ปลอดภัย ดังนั้นจึงไม่ควรเกิดจากการขาดข้อมูลรับรอง ฉันไม่ได้กำหนดค่าข้อมูลรับรองสำหรับการอัปเดต DNS แต่ฉันไม่เห็นว่าสิ่งนี้จะช่วยได้อย่างไร เนื่องจากอนุญาตให้มีการอัปเดตที่ไม่ปลอดภัย
ในไคลเอนต์ ตัวเลือก TCP ขั้นสูง "ลงทะเบียนที่อยู่การเชื่อมต่อนี้ด้วย DNS" จะถูกเลือก (ค่าเริ่มต้นของ Windows)
ฉันได้เห็นคำแนะนำในการกำหนดค่าไคลเอ็นต์แต่ละรายด้วยตัวเลือก "ใช้ส่วนต่อท้าย DNS ของการเชื่อมต่อนี้ในการลงทะเบียน DNS" ยังไม่ได้ลอง แต่ไม่เห็นว่าทำไมสิ่งนี้ถึงช่วยอะไรได้ (มันส่ง FQDN และควรเป็นเซิร์ฟเวอร์ที่ลงทะเบียน DNS) และต้องการหลีกเลี่ยงการกำหนดค่าไคลเอนต์ทั้งหมดด้วยตนเอง
ใครทราบบ้างว่าสิ่งนี้เกี่ยวข้องกับความจริงที่ว่ามีเครือข่ายย่อยที่ 2 ในโดเมนเดียวกันหรือไม่
แล้วฉันจะกำหนดค่าให้ถูกต้องได้อย่างไรเพื่อให้ DNS / DHCP เข้าใจว่าต้องทำอย่างไร
แก้ไขได้โดยอัปเดตข้อมูลรับรองในเซิร์ฟเวอร์ DHCP สำหรับสำนักงานสาขา ซึ่งจริงๆ แล้วไม่ได้เกี่ยวข้องกับเครือข่ายย่อยหลายเครือข่าย
(คลิกขวาที่ IPv4 ภายใต้ชื่อโดเมนใน DCHP Server เลือก Advanced และ Credentials ป้อนข้อมูลผู้ใช้/รหัสผ่านใหม่ - ควรเป็นบัญชีผู้ใช้ที่ไม่มีสิทธิ์สำหรับวัตถุประสงค์นี้เท่านั้น โดยรหัสผ่านไม่มีวันหมดอายุ และผู้ใช้จะไม่สามารถเปลี่ยนรหัสผ่านได้ ฉันพูดว่าไม่มีสิทธิ์ - ต้องเป็นสมาชิกของกลุ่ม DnsAdmin)
บนเซิร์ฟเวอร์ DHCP นี้ในสำนักงานสาขา (และบนเซิร์ฟเวอร์นี้เท่านั้น) ข้อมูลรับรองถูกตั้งค่าเป็นบัญชีผู้ใช้จริงซึ่งเปลี่ยนรหัสผ่านของเขาเมื่อหลายเดือนก่อน
เนื่องจากอนุญาตให้มีการอัปเดตที่ไม่ปลอดภัย การตรวจสอบสิทธิ์ที่ล้มเหลวจึงไม่มีความสำคัญตามปกติ
เหตุใดจึงมีความสำคัญ แต่ฉันเชื่อว่าชื่อโดเมนของฉันมีหลายระดับ (internal.example.com) และ AD ได้สร้างโซนการค้นหาล่วงหน้าสำหรับทั้ง "internal.example.com" และ "example.com" และในโซน "example.com" การอัปเดตแบบไดนามิกถูกตั้งค่าเป็น "ปลอดภัยเท่านั้น" ในขณะที่ "inernal.example.com" มี "ไม่ปลอดภัยและปลอดภัย"
ดังนั้นความจริงที่ว่าไม่สามารถอัปเดตโดเมนหลักได้ ดูเหมือนว่าจะทำให้การอัปเดต PTR ล้มเหลว
(โปรดทราบว่าการเพิ่มเซิร์ฟเวอร์ DHCP ลงในกลุ่ม DnsUpdateProxy ไม่สามารถแก้ปัญหาในกรณีนี้ได้)
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
