需要帮助了解 Windows DNS、DHCP 和动态 PTR

Question

我继承了对运行 AD 支持的 DNS 的一组 AD 服务器的管理。其中之一是运行 DHCP。

对于此 Windows DHCP 服务器提供的 IP 范围，in-addr.arpa 区域由 AD DNS 服务器提供权威服务，以允许 AD 对自身感到满意并允许动态 DNS 正常工作。

对于这些 in-addr.arpa 区域中的每一个，我还从运行 BIND9 的 unix/linux 名称服务器中提取二级。

我开始经常在 *nix 服务器上的日志中看到这样的错误：

Jun  8 13:40:07 ns1 named[6083]: general: warning: '3.37.19.172.in-addr.arpa/PTR/IN': TTL differs in rdataset, adjusting 900 -> 1200

我从技术的 DNS 角度了解这里发生的事情。3.37.19.172.in-addr.arpa 有 >1 条记录，它们具有不同的 TTL。BIND 正在规范 TTL 并通知我。我已经通过抓取区域的手动 AXFR 确认了这种情况：

ns1 0 /home/jj33 ># xfer 37.19.172.in-addr.arpa ad-dns | grep '^3\.'                  <
3.37.19.172.in-addr.arpa.       900     IN      PTR     0509-l3-tmbxt.example.ad.
3.37.19.172.in-addr.arpa.       1200    IN      PTR     0402-3p2jf41.example.ad.

在查看 Windows DNS 和 DHCP 工具时，似乎很可能基于租用时间 0402-3p2jf41.example.ad 要么返回其租用，要么消失并且永远不会回来，从而允许租用到期。0509-l3-tmbxt.example.ad 出现了，拿起 IP，并将其名称插入 3.37.19.172.in-addr.arpa 记录。

因此，完成所有解释后，我有几个问题：

• 在DDNS过程中，到底是谁定义了反向记录的TTL？DNS 服务器、DHCP 服务器还是 DHCP 客户端？
• 为什么没有删除过时的 in-addr.arpa 记录？当提交新的 DDNS 名称时，DNS 服务器是否应该知道删除现有的 DDNS 名称？
• 为什么会突然开始发生？这个系统已经运行了很多年，之前只发生过几次，并且总是使用相同的 IP 地址。在过去的几天里，它在多个 IP 上发生了多次。
• 扫地有用吗？我们目前没有打开它。虽然我将研究它自己的优点，但我不确定它在这种情况下会有所帮助，因为默认值似乎是在清除前 7 天。
• 这种情况是否需要采取行动，或者如果我忽略它最终会“某种东西”清除陈旧的记录（我真的，真的很讨厌等待上帝的干预，但我们以前不会遇到这种情况似乎很奇怪）。

除了这些问题，任何人都可以分享与此问题相关的任何来之不易的经验吗？谢谢。

---

更新 1：看来，在每个 RR 级别，清理实际上是打开的。它在 DNS 服务器级别打开，在区域级别关闭，现在我打开了高级视图，我可以看到它也为动态插入的记录打开。所以，这不是清理不工作的问题，而是 7 天延迟加上（显然是新的？）TTL 差异的问题。

更新 2：DHCP 范围还选中了“删除租约时丢弃 A 和 PTR 记录”。这感觉像是 DHCP 服务器的故障，因为原始 PTR 的租约从 DHCP 服务器上消失了......

到目前为止，感谢您的回答。我正在消化它们并收集信息，以查看我看到的噪音是大量记录每个生成几个日志还是几个记录每个生成多个日志。此外，审核我的 PTR 以查看这种双重记录的情况是否很常见，但我只是注意到它，因为 TTL 已开始不匹配。我倾向于这是一个非问题，清理将解决，但我仍然想了解不同的 TTL 来自哪里

Answer 1

以下是 Microsoft 的一篇文章，描述了其 DHCP 服务器的动态 DNS 过程：http://technet.microsoft.com/en-us/library/cc787034(WS.10).aspx

W2K及以上的常用行为是客户端请求DHCP服务器代表客户端注册PTR记录，客户端自己注册A记录。可以使DHCP 服务器注册 A 记录和 PTR 记录（包括无法自行注册 DDNS 的 Windows 2000 之前的客户端）。

有一个可选设置可以让 DHCP 服务器在放弃租约时删除 A 和 PTR 记录。但是，如果租约没有超时，记录将不会被删除。

您绝对应该老化并清理您的 DDNS 区域。如果你正在衰老和腐烂，这最终会被“净化”。如果你不是，那就不会。

这篇 Microsoft 支持文章介绍了如何设置 DHCP 服务器注册的 DNS 资源记录的 TTL 值（最初位于修补程序中，现在仅内置于操作系统中）：http: //support.microsoft.com/kb/322989

要更改 DNS 注册中客户端计算机的行为，请查看计算机配置的管理模板节点的网络子节点下的DNS 客户端节点中的组策略。在那里，您会发现您可以强制客户端注册其 PTR 记录，而不是由 DHCP 服务器完成（如果您愿意），并且您可以在客户端注册的记录上设置 TTL。

我不确定为什么会突然开始发生这种情况。某些配置必须更改，但我无法告诉您在哪里。开始与您的共同管理员讨论他们可能在 DHCP 服务器配置或客户端动态 DNS 行为的组策略设置中所做的任何更改。

我不能说我见过多个客户端注册相同 PTR 记录的行为。这很奇怪。我必须在这件事上听从别人的意见。我想说的是，我的所有反向区域始终都是 AD 集成的，并且需要安全更新，但我不知道这会对此产生影响。

根据我的经验，只要打开老化和清理功能，在消除陈旧记录方面就会产生很大的不同。默认的 7 天间隔对我来说效果很好。