Workaround für DHCP/DNS Warnmeldungen mit Event-ID 8018 (DNS Client Events).

Microsoft DHCP & secure dynamic DNS Updates


Ab Windows Server 2008 kann der Microsoft DHCP Service DNS-Einträge für Clients dynamisch aktualisieren. Das funktioniert grundsätzlich ganz gut automatisch, solange (a) man nur einen einzelnen DHCP-Server im Einsatz hat und (b) der DHCP-Service nicht auf dem/einem Domaincontroller läuft.

Werden mehrere DHCP-Server innerhalb der selben Domäne betrieben (zB. für Loadbalancing/Failover) ist es nötig, die Sicherheitseinstellungen des DHCP-Dienstes anzupassen.

Symptom

Ein Indikator für die fehlerhafte Konfiguration sind folgende Einträge im Eventlog von Clients, welche häufig zwischen LAN und WLAN wechseln:

Event-ID: 8018 Source: DNS Client Events

Fehler beim Registrieren der Hostressourceneinträge (A oder AAAA) für den Netzwerkadapter mit den folgenden Einstellungen:

    Adaptername: {... GUID ...}
    Hostname: <HOSTNAME>
    Primäres Domänensuffix: <DOMAIN>
    DNS-Serverliste:
    <SERVER 1>, <SERVER 2>, ... <SERVER N>
    Server, an den das Update gesendet wurde: <?>
    IP-Adresse(n) :
    <IP-ADRESSE DES CLIENTS>

Diese Ressourceneinträge konnten nicht registriert werden, weil der DNS-Server die Updateanforderung verweigert hat.
Mögliche Ursachen sind:
(a) Sie sind nicht dazu berechtigt den adapterspezifischen DNS-Domänenname zu aktualisieren.
(b) Der autoritative DNS-Server unterstützt das Protokoll für das dynamische DNS-Update nicht.

Lösung

  1. Alle DHCP-Server in die AD-Sicherheitsgruppe “DnsUpdateProxy” aufnehmen.
  2. In den Eigenschaften aller DHCP-Dienste (im Reiter “DNS”) die Option “Dynamische DNS Updates” aktivieren und auf “A- und PTR-Einträge immer aktualisieren” setzen.
  3. Ebenfalls in den DHCP-Eigenschaften (im Reiter “Erweitert”) Zugangsdaten für die dynamischen DNS-Updates eintragen.
  4. Wenn ein DHCP-Dienst auf einem Domaincontroller läuft oder “DHCP Name Protection” für einen DHCP-Scope aktiviert ist muss auf den DNS-Servern der zusätzliche Parameter “OpenAclOnProxyUpdates” auf 0 gesetzt werden. (s. MS TechNet: The DNSupdateproxy group must be secured…)
  5. Sofern DNS Scavenging aktiviert ist müssen die NoRefresh- und Refresh-Werte (addiert) größer sein als die DHCP Lease-Zeit.

Quellen