После миграции контроллера домена с Windows 2003 Server на Windows 2008 R2 Server со всеми сопутствующими службами (DNS, DHCP и пр.) в журнале системы стало появляться странное предупреждение:
Служба DHCP обнаружила, что она запущена на контроллере домена (DC) и не имеет учетных данных,
настроенных для использования с динамическими DNS-регистрациями, производимыми службой DHCP.
Подобная конфигурация безопасности не рекомендуется. Учетные данные динамических DNS-регистраций
можно настроить с помощью утилиты командной строки «netsh dhcp server set dnscredentials» или с
помощью программы администрирования DHCP.
с кодом 1056 и источником DHCP-Server. Я особо не парился по этому поводу, потому, что «предупреждение» и потому, что парился по другим поводам. Одним из таковых было то, что в DNS-списках постоянно появлялись «дубли». Понять почему это происходит никак не мог и чистил руками. Когда же наконец мне это надоело я таки задумался (поступил как нормальный русский: начал думать только тогда когда уже ничего не помогало 🙂 ) и заодно вспомнил про «предупреждение» 1056, которое упомянул чуть выше. Картинка в голове потихоньку начала складываться, и нужные сомнения начали вкрадываться в мозг. Засел за Google и Яндекс. На МелкоМягком (MicroSoft-е) найти ничего не удалось. Да и в паутине в целом не так много информации по этому поводу мне попалось. Но вот на sysadmins.ru таки удалось нарыть упоминание данной проблемы. Но там говорилось лишь о том как избавиться от «предупреждения», но никак не связывалось это с дублями в DNS-е. Прочитал заголовок темы и несколько ответов в ней, стало ясно что речь идёт о неком пользователе от имени которого будут создаваться DNS-записи при выдаче IP-адреса хосту. На этом этапе всё встало на свои места. У каждой DNS-записи есть своя вкладка «Безопасность» и есть «Владелец». А регистрация в DNS-списке происходила от имени регистрируемого хоста, и владельцем становился этот самый хост. А теперь такой пример:
Представим, что на IP-адрес 192.168.0.5 у нас регистрируется хост с именем comp1. В DNS создаётся соответствующая запись и владельцем её становиться comp1. Проходит некоторое время и он исчезает из сети. DHCP-сервер выдаёт этот IP хосту с именем comp2 и действуя уже от имени comp2 пытается исправить запись созданную для comp1, но это понятное дело не удаётся, потому создаётся ещё одна запись на сопоставляющая нашему IP ещё одно имя. Вот собственно и создался наш «дубль».
Теперь в моей голове пазл сложился полностью.
Был создан специальный пользователь, и настроена связка между DHCP и DNS. Делается это довольно просто:
Заходим в «Управление DHCP». Тыкаем правой кнопкой мыши на зоне «IPv4» нашего сервера. Выбираем свойства. Переходим на вкладку «Дополнительно» там есть надпись «Учётные данные регистрации в динамической DNS» и рядом с ней кнопка «Изменить». Собственно в эту кнопку и тыкаем, там вписываем все нужные данные и дело, как говорится, в шляпе.
И тут вроде бы и всё готово. И может показаться что проблема решена. Но остаётся ещё вопрос о «правах» этого связующего пользователя. Тут на самом деле всё просто Если вы создадите базу DNS с нуля или полностью очистите старую до прав обычного «пользователя домена» будет достаточно, еже ли хотите работать на старой базе где уже созданы записи с иными владельцами, прав этому пользователю стоит добавить, например дать какого-нибудь админа иначе он просто не сможет пересоздать записи. Не очень конечно хорошо, но гарантированно работать будет.
Запись опубликована в рубрике Windows с метками DHCP, DNS, Windows, ОС. Добавьте в закладки постоянную ссылку.
- Remove From My Forums
-
Question
-
The DHCP service has detected that it is running on a DC and has no credentials configured for use with Dynamic DNS registrations initiated by the DHCP service. This is not a recommended security configuration. Credentials for Dynamic DNS registrations
may be configured using the command line «netsh dhcp server set dnscredentials» or via the DHCP Administrative tool.Dear all, my DHCP server stops responding as the above mentioned Error is occurring, i have to restart the Server to release the IP from DHCP Server else my network stops and becomes a nightmare .
Please Advice.
Answers
-
Hi faisal997,
________________________________________
Best Regards,
Cartman
Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact
tnmff@microsoft.com.-
Proposed as answer by
Wednesday, May 18, 2016 6:28 AM
-
Marked as answer by
Leo Han
Thursday, May 19, 2016 5:50 AM
-
Proposed as answer by
The DHCP service is running on a DC and has no credentials configured for use with Dynamic DNS registrations initiated by the DHCP service.Microsoft strongly recommends the use of DNSCredentials when you are running the DHCP Server service and DNS services on the same domain controller to ensure the integrity of Secure Dynamic Updates.
A DHCP server can enable dynamic updates in the DNS namespace for any one of its clients that support these updates. Clients can use the DNS dynamic update protocol to update their host name-to-address mapping information whenever changes occur to their DHCP-assigned address. (This mapping information is stored in zones on the DNS server.) A DHCP server can perform updates on behalf of its DHCP clients to any DNS server, but it must first supply proper credentials.
The Netsh.exe tool can be used to configure the impersonation credentials. You must create a dedicated user account in Active Directory Domain Services before you use the Netsh.exe tool to configure the use of impersonation credentials.
========
Events:
========
| Event ID | Source | Message |
| 1055 | Microsoft-Windows-DHCP-Server | The DHCP service was unable to impersonate the credentials necessary for DNS registrations:
%1. The local system credentials are being used. |
| 1056 | Microsoft-Windows-DHCP-Server | The DHCP service has detected that it is running on a DC and has no credentials configured for use with Dynamic DNS registrations initiated by the DHCP service. This is not a recommended security configuration. Credentials for Dynamic DNS registrations may be configured using the command line “netsh dhcp server set dnscredentials” or via the DHCP Administrative tool. |
Log Name: System
Source: Microsoft-Windows-DHCP-Server
Date: 20/04/2017 10:54:22 AM
Event ID: 1056
Task Category: None
Level: Warning
Keywords: Classic
User: N/A
Computer: Domain.com
Description:
The DHCP service has detected that it is running on a DC and has no credentials configured for use with Dynamic DNS registrations initiated by the DHCP service. This is not a recommended security configuration. Credentials for Dynamic DNS registrations may be configured using the command line “netsh dhcp server set dnscredentials” or via the DHCP Administrative tool.
================
Requirements:
================
— Membership in the Administrators or DHCP Administrators group is the minimum required to complete this procedure.
— A “normal” user account with below requirements.
Recommendations for Credentials:
— To configure the credentials you need to use a “normal” user account, not an administrative or privileged account, for the alternate credentials.
— Just make sure to use the Password Never Expires option. There is not need to add this account to any special group. The steps to configure these credentials are documented in http://support.microsoft.com/kb/282001.
— If there are more than one DHCP Server in the environment, try to use the same account for the alternate credentials in all of them.
========================
Resolution:
========================
— Run “netsh dhcp server show dnscredentials” to find any credentials are configured on DHCP server.
C:\Windows\system32>netsh dhcp server show dnscredentials
The credentials used for DNS Dynamic registrations:
User Name :
Domain :
— You can also verify by opening DHCP console.
Under the server(SERVER) → Right Click on IPV4 and go to properties → Go to advance tab → click on Credentials.
Procedure to set credentials:
A) Using the DHCP manager:
- Start → Administrative Tools → DHCP.
- Under server → Right-click the IPv4 or IPv6 → Select Properties.
- Select the Advanced tab → Select credentials.
- Add the user credentials that was previously created..
- Click OK
- You can repeat these same steps to change the DHCP credentials for the updates of IPv6-related DNS entries, except this time you must start from the IPv6 container in the DHCP snap-in.
B) Using CMD:
— Run below command on CMD (Administrator Mode) by replacing UserID & Password.
C:\Windows\system32/netsh dhcp server set dnscredentials UserID Password
Command completed successfully.
— Restart DNS for changes to take effect.
C:\Windows\system32/net stop dhcpserver & net start dhcpserver
The DHCP Server service is stopping.
The DHCP Server service was stopped successfully.
The DHCP Server service is starting…
The DHCP Server service was started successfully.
— To confirm if the credentials has been successfully configured.
C:\Windows\system32/netsh dhcp server show dnscredentials
The credentials used for DNS Dynamic registrations:
Username : UserID
Domain : Domain.com
— Check if below event has been generated.
Log Name: System
Source: Microsoft-Windows-DHCP-Server
Date: 9/11/2016 9:49:34 PM
Event ID: 1044
Task Category: None
Level: Information
Keywords: Classic
User: N/A
Computer: Domain.com
Description:
The DHCP/BINL service on the local machine, belonging to the Windows Administrative domain ironworkers.local, has determined that it is authorized to start. It is servicing clients now.
— The event should now be stopped occurring in the eventvwr.
=======
Ref:
=======
- https://technet.microsoft.com/en-us/library/cc774834(v=ws.10).aspx
- http://blogs.technet.com/b/stdqry/archive/2012/04/03/dhcp-server-in-dcs-and-dns-registrations.aspx
Обновлено 16.03.2015
Имя журнала: System
Источник: Microsoft-Windows-DHCP-Server
Дата: 08.09.2012 18:38:49
Код события: 1056
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: Dcsrv1.nwtraders.msft
Описание:
Служба DHCP обнаружила, что она запущена на контроллере домена (DC) и не имеет учетных данных, настроенных для использования с динамическими DNS-регистрациями, производимыми службой DHCP. Подобная конфигурация безопасности не рекомендуется. Учетные данные динамических DNS-регистраций можно настроить с помощью утилиты командной строки «netsh dhcp server set dnscredentials» или с помощью программы администрирования DHCP.
Xml события:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Microsoft-Windows-DHCP-Server» Guid=»{6D64F02C-A125-4DAC-9A01-F0555B41CA84}» EventSourceName=»DhcpServer» />
<EventID Qualifiers=»0″>1056</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime=»2012-09-08T14:38:49.000000000Z» />
<EventRecordID>4753</EventRecordID>
<Correlation />
<Execution ProcessID=»0″ ThreadID=»0″ />
<Channel>System</Channel>
<Computer>Dcsrv1.nwtraders.msft</Computer>
<Security />
</System>
<EventData>
<Data>Операция успешно завершена.
</Data>
<Binary>00000000</Binary>
</EventData>
</Event>
Данное предупреждение появилось после установки роли DHCP на сервер с динамическим обновлением DNS.
А возникает она из-за того, что не имеет учетных данных, настроенных для использования с динамическими DNS-регистрациями, производимыми службой DHCP.
На сколько я понимаю данная конфигурация не особо безопасна.
Для исправления этого предупреждение необходимо сделать следующие:
Открываем оснастку DHCP-сервер. Правой кнопкой нажимаем на сервере который хотим настроить. В контекстном меню выбираем пункт Свойства.
Код события1056. Источник Microsoft-Windows-DHCP-Server в windows server 2008R2-01
Выбираем вкладку Дополнительно- Нажимаем кнопку Изменить напротив пункта Учетные данные регистрации в динамической DNS.
Код события1056. Источник Microsoft-Windows-DHCP-Server в windows server 2008R2-02
Забиваем учетную запись имеющую разрешения на внос изменений в DNS
I’ve installed Windows Server 2012 Standard and everything is running fine except that my DHCP is not issuing IP addresses.
1. Error 1046 — The DHCP/BINL service on the local machine, belonging to the Windows Administrative domain kimosabeit.com, has determined that it is not authorized to start. It has stopped servicing clients. The following are some possible reasons
for this:
This machine is part of a directory service enterprise and is not authorized in the same domain. (See help on the DHCP Service Management Tool for additional information).
This machine cannot reach its directory service enterprise and it has encountered another DHCP service on the network belonging to a directory service enterprise on which the local machine is not authorized.
Some unexpected network error occurred.
*** For this problem I tried running command prompt and entered:
C:\Users\Administrator>netsh dhcp add server kimosabeit.com 192.168.1.1
Adding server kimosabeit.com, 192.168.1.1
Command completed successfully.
C:\Users\Administrator>netsh dhcp show server
2 Servers were found in the directory service:
Server [kimosabeit.com] Address [192.168.1.1] Ds location: cn=kimosabeit.com
Server [server.kimosabeit.com] Address [192.168.1.1] Ds location: cn=server.kimosabeit.com
Command completed successfully.
2. Error 1059 — The DHCP service failed to see a directory server for authorization.
3. Error 1056 — The DHCP service has detected that it is running on a DC and has no credentials configured for use with Dynamic DNS registrations initiated by the DHCP service. This is not a recommended security configuration. Credentials for Dynamic
DNS registrations may be configured using the command line «netsh dhcp server set dnscredentials» or via the DHCP Administrative tool.
This is my second attempt at installing a local home network with the Network ID: 192.168.1.0 and my Gateway is 192.168.1.254
What are the steps to resolve this issue with ADSIedit.msc??? I’ve tried to follow the steps in the knowledge base but failed.