[2008]Blijft zichzelf toevoegen aan DNS

Ik heb bij een klant van ons een Windows 2008 Standard x64 server staan. Dit is de enige server, en de domain controller van (bijvoorbeeld) contoso.com. De server zelf heet server01.

Naast de AD DS role (en DNS) heeft de server ook de NPAS role voor RRAS, om ervoor te zorgen dat de medewerkers kunnen VPNen naar de zaak. Hierdoor heeft de server dus ook twee ip-adressen.

En daarmee begint het gezeur. De server registreert zichzelf in de DNS, maar wel met beide adressen (Ik had een derde adres toegevoegd om zo wat apparaten die nog niet naar het nieuwe ip-plan waren gemigreerd nog aan te kunnen, toen stonden er zelfs 3 adressen in de DNS).

Aangezien de Netbios poort (TCP/139) slechts op het LAN-ip is gebind en DNS vrolijk round robin alle drie de adressen uit gaat staan delen kunnen de werkstations dus de helft van de tijd (tot 2/3e, maar ik heb het 3e adres ondertussen weggehaald) niet naar de server verbinden, omdat ze het verkeerde adres doorkrijgen.

Ik kan de (dynamic, aldus DNS-manager, maak ik ze zelf aan dan zijn ze static maar wordt overschreven) verkeerde adressen wel weghalen, maar na tijdje (sowieso na een reload van het domein of herstart van de service, maar dat is slecht 'forceren', met slechts wachten gebeurt het ook) staan ze vrolijk weer terug.

Als ik VPN kan ik probleemloos verbinden met alles op het LAN-subnet (inclusief op het LAN-ip van de server alles benaderen) dus het VPN-ip hoeft helemaal niet als server01.contoso.com in de DNS, want andersom is het niet het geval, vanaf het LAN subnet kan men niet verbinden op het IP-adres op de PPP-'adapter' (of iig niet TCP/139).

Wat heb ik al gedaan:
- Op de netwerkadapter (er is er maar 1 [zichtbaar?]) "Register this connection's addresses in DNS" uitgezet
- DisableDynamicUpdate in de registry aangepast en de server herstart.
- De complete RRAS-manager nagelopen of er ergens een optie is om op de PPP-adapter "Register this connection's addresses in DNS" uit te zetten.

Al met al kom ik er niet uit. Wie helpt?

squaddie schreef op dinsdag 06 oktober 2009 @ 10:33:
Staat op de dns-server netmask ordering uit?

Nee, staat aan. De PPP-adapter en de LAN-adapter hebben echter adressen in dezelfde range (RRAS deelt IP-adressen uit dmv DHCP, en heeft daar ook zijn eigen PPP-ip vandaan).
IPv4 forwarding staat aan, dus ik neem aan dat als ik daar een static address pool invul dat VPN-ers nog gewoon overal bij kunnen?

shadowman12 schreef op dinsdag 06 oktober 2009 @ 11:17:
Register this connection's addresses in DNS

Paul Nieuwkamp schreef op dinsdag 06 oktober 2009 @ 10:02:
Wat heb ik al gedaan:
- Op de netwerkadapter "Register this connection's addresses in DNS" uitgezet

Ah, je hebt het KB-artikel ervan ipv een random Google-result, maar die stond (helaas) ook al in de TS

Ik heb het nu zowel globaal als op de ene subkey die in de Adapters key staat uitgezet, maar helaas blijft de ongewenste entry terugkomen.

Ah, die bovenste zou wel eens geholpen kunnen hebben, dank je

Ik ga het nog een paar dagen aankijken, maar ik kan in ieder geval niet meer forceren dat het record er bij komt, en de timestamp op het record veranderd van static naar 13:00:00 zonder dat het 2e record erbij komt.

Dan stel ik het wel in op de Juniper SSG-550 die er al staat, maar dan moet ik weer een Radius-server installeren voor de authenticatie.

Naar zich laat aanzien komt het vooral doordat de DNS-server zelf op meerdere ip-adressen luisterde, en is het hackwerk in de registry niet nodig geweest

[ Voor 7% gewijzigd door Paul op 06-10-2009 15:45 ]