DNS Scavenging and DHCP Lease - Best Practice

Hola a todos!

Actualmente estoy trabajando en un proyecto de instalación de System Center Configuration Manager y me encontré con algunos inconvenientes en cuanto a la detección y despliegue del Cliente. A continuación el detalle del inconveniente.

ESCENARIO

 Esta es parte de la plataforma actual en la que estoy trabajando

SCCM

  • La consola de System Center Configuration Manager, muestra clientes que se encuentran dentro de los limites del site (Site Boundaries) y no poseen el cliente instalado


  • Las estaciones de trabajo que no poseen el cliente instalado responden al comando ping
  • Cuando se trata de conectar a la estación de trabajo a través de una ruta UNC, se recibe el error de "Access Denied"
DNS


  • Se posee una zona DNS integrada en Active Directory y configurada para borrar los registros antiguos del DNS
  • Los valores de configuración del aging/scavenging del DNS, son los valores por defecto
    • "No-Refresh = 7 days" y "Refresh = 7 days"
  • Los valores de configuración del scavenging del DNS, son los valores por defecto
    • "Scavenging Period = 7 days"

(Nota: Si deseas más información acerca del intervalo de "scavenging", el "No-Refresh" y "Refresh", visita el Blog de Josh Jones)

DHCP
  • Se posee un scope en el DHCP con una duración de alquiler de 30 días
  • El servidor DHCP se encuentra configurado para permitir que actualice los registros DNS únicamente  cuando el cliente DHCP así lo solicite (por ende, cada estación de trabajo que solicita y adquiere una dirección IP del DHCP, se encarga de actualizar su propio registro en el servidor DNS)

EL PROBLEMA

Como mencioné anteriormente, el problema se presenta cuando nos encontramos con una estación de trabajo (que sabemos que ya no existe en el directorio activo desde hace mas de 15 días) que responde al comando ping, pero al tratar de conectar con ella a través de una ruta UNC, se recibe el error de "Access Denied" o "Logon Failure"


Sin embargo, cuando verificamos los registros del servidor DNS, nos encontramos con que la estación de trabajo anteriormente descrita, se encuentra dentro de los registros activos, al igual que otra estación de trabajo (que si se encuentra activa dentro del directorio activo), y ambas tienen la misma dirección IP


LA SOLUCIÓN

Este problema, está directamente relacionado con los registros antiguos del DNS y la forma en que dichos registros son marcados para borrar y posteriormente eliminados del servidor DNS. A continuación se presentan 3 posibles soluciones, a fin de evitar que siga sucediendo este inconveniente; cada una de las soluciones tiene sus pros y contras. 

Solución 1
  • Igualar el tiempo del alquiler del DHCP con el tiempo del intervalo de "No-Refresh" y "Refresh" (En mi caso tuve que disminuir el tiempo del alquiler de 30 días a 14)
    • Pros: 
      • Los registros DNS de las estaciones de trabajo permanecerán mientras exista un alquiler en el DHCP para dicho registro
    • Cons: 
      • Si se disponen de pocas direcciones IP para el DHCP, es posible quedarse sin direcciones IP disponibles a corto plazo
      • Es posible de que un pequeño porcentaje de registros aún permanezcan en el servidor DNS, si el período de scavenging no se disminuye a al menos 1 día
Solución 2
    • Igualar el tiempo del intervalo de de "No-Refresh" y "Refresh" con el tiempo del alquiler del DHCP
      • Pros:
        • Los registros DNS se borrarán tan prontamente como en la primera solución
      • Cons:
        • Se incrementará la replicación del directorio activo (en caso de que la zona DNS esté integrada en el mismo), ya que los clientes refrescarán sus registros más frecuentemente.
        • Es posible de que un pequeño porcentaje de registros aún permanezcan en el servidor DNS, si el período de scavenging no se disminuye a al menos 1 día
    Solución 3
    • Permitir que el servidor DHCP actualice los registros DNS en nombre de los clientes
      • Pros:
        • El servidor DHCP podrá eliminar los registros del DNS una vez expire el alquiler de la dirección IP
        • Si se configura correctamente, no deberían existir registros duplicados en el servidor DNS
      • Cons:
        • Se necesitan más pasos de configuración
        • Se necesita de una cuenta de servicio para ejecutar el servicio de DHCP, o los servidores DHCP deben ser miembros del grupo DNSUpdateProxy (menos seguro). Para más información acerca del DNSUpdateProxy, leáse el siguiente Knowledge Base
    Nota: Las soluciones 1 y 2 se plantean sugiriendo disminuir el periodo de scavenging (el valor por defecto es de 7 días) a un valor de 1 a 3 días para obtener mejores resultados en el manejo de registros duplicados en el servidor DNS. En mi caso el valor utilizado es de 2 días

    Si deseas identificar los registros duplicados en el servidor DNS, leáse el siguiente post en este blog

    This posting is provided "AS IS" with no warranties, and confers no rights. Use of included script samples are subject to the terms specified at http://www.microsoft.com/info/cpyright.htm
    Por Publicado:
    Etiquetas: