Zona de cerca inversa DNS amb DHCP

19 Gener 2016
Josep Ma Solanes 0

Revisant les últimes configuracions que he fet del servei de DHCP, m’he adonat que hi ha un error de configuració. No és un error greu, perquè a nivell funcional gairebé tot és correcte, però que afecta a serveis que fan la comprovació inversa de l’adreça IP, és a dir, transformar el registre PTR amb el nom de la màquina (registre A). Es poden veure afectats dispositius de xarxa que necessiten saber a quina màquina correspon una adreça IP per fer una consulta sobre l’usuari que té la sessió oberta. Per exemple, tallafocs o filtres de contingut.

El problema està en què el servei de DHCP no actualitza correctament les entrades de la zona de cerca inversa (PTR) en el DNS. Per comprovar si la configuració és incorrecta és tant senzill com donar un cop d’ull als fitxers de logs del servei de DHCP, per defecte, ubicats al directori C:\Windows\System32\DHCP. En aquest directori hi trobem dos fitxers de log, un de IPv4 (DhcpSrvLog-X) i un de IPv6 (DhcpV6SrvLog-X) per cada dia de la setmana.

zona-de-cerca-inversa-DNS-amb-DHCP-003

Si s’obre el fitxer es poden observar registres que comencen amb el número 31 i que indiquen un error d’actualització en el DNS. Normalment apareix després de 7 minuts d’intentar l’actualització (registre 32).

El problema en sí correspon a la falta de la zona de cerca directa, la zona de cerca inversa o als permisos de seguretat amb l’usuari que fa el registre del DHCP en el DNS. S’entén que les dues zones estan correctament creades en el servidor de DNS, pel que ens centrem als permisos de seguretat de l’entorn.

Per comprovar quins permisos té aquest usuari, accedir a la consola d’Usuaris i Equips d’Active Directory, localitzar el compte de l’usuari, en el meu cas Usuari Servei DHCP, botó dret i clicar a Propietats.

zona-de-cerca-inversa-DNS-amb-DHCP-002

Clicar a la pestanya Membre de. Aquí hi ha el problema, l’usuari ha de pertànyer al grup de seguretat DNSUpdateProxy. Clicar el botó Afegir.

zona-de-cerca-inversa-DNS-amb-DHCP-004

Buscar el grup DNSUpdateProxy, seleccionar-lo i clicar el botó Acceptar.

zona-de-cerca-inversa-DNS-amb-DHCP-007

Ja com a membre del grup DNSUpdateProxy, marcar aquest grup i clicar el botó Establir com a principal.

zona-de-cerca-inversa-DNS-amb-DHCP-008

Per assegurar que ningú pot utilitzar aquest usuari fora del servidor de DHCP, a la pestanya Compte, clicar el botó Iniciar sessió en

zona-de-cerca-inversa-DNS-amb-DHCP-005

Seleccionar Els següents equips i afegir el/s servidor/s de DHCP. Clicar Acceptar en els dos quadres de diàleg oberts per aplicar els canvis.

zona-de-cerca-inversa-DNS-amb-DHCP-006

Tornant a l’administrador de DHCP, botó dret damunt l’opció IPv4 i clicar l’opció del menú contextual Propietats.

zona-de-cerca-inversa-DNS-amb-DHCP-009

A la pestanya Opcions avançades, clicar el botó Credencials.

zona-de-cerca-inversa-DNS-amb-DHCP-011

Assegurar que hi ha el nom FQDN del domini, m’he trobat algun cas en què només amb el nom NetBIOS no acaba de funcionar del tot. Validar la contrasenya i clicar el botó Acceptar per aplicar les modificacions.

zona-de-cerca-inversa-DNS-amb-DHCP-012

Per tal d’assegurar el tret, podeu reiniciar el servei de DHCP. Botó dret damunt el nom del servidor, clicar a Totes les tasques i l’opció Reiniciar.

zona-de-cerca-inversa-DNS-amb-DHCP-013

A l’entrar en funcionament, si s’han creat registres PTR d’una altra forma es trobarà amb un conflicte i aquest no s’actualitzarà. Recomano que esborreu tots els registres PTR dinàmics que pugueu a fi que els vagi creant el sistema.

Si el registre en el DNS s’ha creat prèviament, l’usuari del servei de DHCP no el podrà modificar al no tenir permís sobre ell.

Obrir la consola d’administració de DNS, clicar a Zones de cerca inversa. Es poden seleccionar i esborrar totes les entrades que tenen marca de temps. Botó dret damunt la selecció i clicar Eliminar.

zona-de-cerca-inversa-DNS-amb-DHCP-014

Recordeu que les entrades que no es vegin afectades pel DHCP s’actualitzen cada 24 hores o, si es vol forçar l’actualització, executant la següent comanda amb privilegis d’administrador:

ipconfig /registerdns

Amb l’assignació DHCP i les zones directa i indidecta del servei de DNS sense registres històrics, es pot comprovar que les noves peticions d’adreces IP es fa de manera correcta.

zona-de-cerca-inversa-DNS-amb-DHCP-015

Iniciar un equip de la xarxa, ubuntudesk (no és un equip Windows i per tant no està al domini), prèviament configurat per obtenir l’adreça IP mitjançant el DHCP. Fent la comprovació dels registres a les consoles de DHCP i DNS. A la consola de DHCP s’observa que se li ha assignat l’adreça IP 192.168.0.202.

zona-de-cerca-inversa-DNS-amb-DHCP-016

Si es comprova la zona de cerca directa del DNS, apareix el registre A corresponent. Botó dret damunt d’ell i clicar a Propietats.

zona-de-cerca-inversa-DNS-amb-DHCP-018

A la pestanya Seguretat, clicar el botó Opcions avançades per comprovar el propietari del registre.

zona-de-cerca-inversa-DNS-amb-DHCP-019

Si tot és correcte, el propietari del registre és l’usuari assignat al DHCP per fer les inscripcions al servei de DNS. Tancar els quadres de diàleg.

zona-de-cerca-inversa-DNS-amb-DHCP-020

Repetir el procés en el registre de la zona de cerca inversa (PTR).

zona-de-cerca-inversa-DNS-amb-DHCP-021

 

zona-de-cerca-inversa-DNS-amb-DHCP-022

Si es comprova el registre log del DHCP, ja no apareix el codi 31, recordeu a esperar els 7 minuts de rigor perquè tingui temps a ensenyar l’error si és el cas.

zona-de-cerca-inversa-DNS-amb-DHCP-023

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada