update-security Errors im DNS-Server

laserdesign · 20. Feb 2021

Hallo an alle die helfen können,

ich habe auf meiner DS718+ das Paket Virtual Machine Manager installiert.
Darin habe ich DSM_VirtualDSM_25426 virtualisiert und ein Windows 10 pro.

In dieser virtuellen Umgebung habe ich das Paket Direktory-Server und DNS-Server installiert.

Bei der Installation bin ich nach dieser Anleitung vorgegangen:
<https://www.youtube.com/watch?v=LanJkL2utUw>

Das hat auch alles so funktioniert und ich konnte Windows 10 pro. in die Domain heben.

Ich habe mich als Domain-Administrator an die Domain auf der Windows 10 pro. angemeldet,
alles soweit kein Problem.

Habe dann die RSAT-Gruppenrichtlinienverwaltung installiert und GPO's angelegt,
auch da gibt es keine Probleme.

Nun zu den Problemen:

Im DNS-Server habe ich immer diese Fehlermeldungen:

In der Gruppenrichtlinienverwaltung habe ich diesen Fehler:

Habe leider keine Lösung für diese Probleme gefunden und bitte um Hilfe.

Danke fürs lesen

Anzeige · 20. Feb 2021

Hallo laserdesign,

Bücher und Hardware zum Thema gibt es bei Amazon: update-security Errors im DNS-Server

laserdesign · 22. Feb 2021

meine bitte um Hilfe scheint zu speziell zu sein, deshalb habe ich ein Ticket bei Synology aufgemacht.

Das hier ist die erste Antwort die ich bekommen habe.
Der Eintrag ist bei mir aber nicht aktiviert.
Also weiter suchen.

Dieser Fehler bedeutet, dass eines Ihrer Geräte versucht, Ihre DNS-Zone auf Ihrem DNS-Server zu aktualisieren. Bitte sagen Sie mir zu Beginn, welche Version des DNS-Servers Sie verwenden. Sie können dies im Package Center überprüfen.
Bitte prüfen Sie auch, ob Ihr Host die Berechtigung hat, Ihre DNS-Zone zu aktualisieren. Sie können dies unter DNS Server -> Zonen -> Bearbeiten -> Zoneneinstellungen überprüfen. Wenn Sie diesen Eintrag aktiviert haben, bedeutet dies, dass nur bestimmte Hosts Ihre DNS-Zone aktualisieren können.

jlu29 · 11. Mrz 2021

@laserdesign hast du bereits etwas herausgefunden? Habe das selbe Problem und finde die Lösung einfach nicht.

laserdesign · 12. Mrz 2021

Hallo,
der Support wollte einen Wiresharkmitschnitt von mir haben.
Habe dann diese Anwort bekommen.

The error can be ignored since it causes by Windows behavior. For ad zone, if client want to do dynamic update to update the IP, they need to get TSIG key to get permission.
However, we found Windows will try to do normal dynamic update, and check if it work or not.
And if it fails that Windows will do TSIG key dynamic update. You can refer to the red part, the first time is not a TSIG key that is the error log root cause.

Yippie · 12. Mrz 2021

Ok und die Abhilfe dazu ist? Nur dass die Ursache beschrieben wird, löst noch nicht das Problem.

Ach ja, habe die gleichen Log-Einträge schon seit dem ersten Tag der Verwendung von Synology's Directory Server.
Und, ich kann den Zoneneintrag gar nicht editieren, die Einstallung Limit Zone Update ist bei mir aktiviert, aber ich komm nicht auf den Button darunter denn auch dieser ist ausgegraut/inaktiv.

blurrrr · 12. Mrz 2021

Yippie schrieb:
Ok und die Abhilfe dazu ist? Nur dass die Ursache beschrieben wird, löst noch nicht das Problem.

...Schalt ab den Kram? ?

Der Windows-Client versucht eine dynamische Registrierung seinerseits im DNS (Ursache der Fehlermeldung), die "Lösung" wäre dann wohl dem Client zu sagen, dass er das "nicht" mehr macht. Ist zwar schon "etwas" älter, aber mitunter dient es dem besseren Verständnis...:

https://docs.microsoft.com/de-de/tr...igure-dns-dynamic-updates-windows-server-2003

https://docs.microsoft.com/de-de/tr...rking/enable-disable-dns-dynamic-registration

und vllt noch dieser hier: https://docs.microsoft.com/en-us/an...abling-dns-dynamic-updates-and-option-81.html

Wünsche viel Erfolg!

laserdesign · 12. Mrz 2021

Yippie schrieb:
Ach ja, habe die gleichen Log-Einträge schon seit dem ersten Tag der Verwendung von Synology's Directory Server.

und schon den Support um Hilfe gebeten, vielleicht bekommst du ja eine andere Antwort.

blurrrr · 12. Mrz 2021

Da hat der Synology-Support aber nichts mit zu tun, wenn der "Client" versucht ein dynamisches Update am Server vorzunehmen...

EDIT: Guckt mal bei den GPOs unter Computerkonfiguration/Administrative Vorlagen/Netzwerk/DNS-Client... Zur Not einfach abschalten den ganzen Käse. Einfacher wäre aber wohl eher eine Umstellung, dann kann der DHCP-Dienst die Updates im DNS vornehmen und die Clients haben damit nix mehr an der Mütze, so dass man den o.g. Part ("Dynamische Updates" dann komplett auf den Clients deaktivieren kann, so dass diese dann auch erst garnicht mehr versuchen sich zu registrieren).

Anbei noch was zum Thema:

https://github.com/gclayburg/synology-diskstation-scripts

https://www.youtube.com/watch?v=T22xytAWq3A&list=UUp8GcSEeUnLY8d6RAT6Y3Mg

bzw. hier wurde das Thema auch schon mal behandelt: https://www.synology-forum.de/threads/automatisches-dns-update-ueber-dhcp-kein-dyndns.58268/ und ei gugge ma, wer sich damals schon an der Diskussion beteiligt hat:

laserdesign schrieb:
...mache das schon jahre lang so, allerdings mit bind9 und dhcp.

Du weisst doch, wie es geht... ?

laserdesign · 13. Mrz 2021

blurrrr schrieb:
Guckt mal bei den GPOs unter Computerkonfiguration/Administrative Vorlagen/Netzwerk/DNS-Client.

dazu habe ich noch das hier unter Tips and tricks, ziemlich weit unten.

It should be noted that using this method will affect functionality of windows clients, as they will still attempt to update DNS on their own. When this occurs, the machine will be denied permission to do so as the record will be owned by the dhcp user rather than the machine account. While this is essentially harmless, it will generate warnings in the system log of the offending machine. You should create a GPO to overcome this, but unfortunately, Samba does not yet have a command line utility to modify GPOs. You will need a Windows PC with the RSAT tools installed. Simply create a dedicated GPO with the Group Policy Editor, and apply only to OUs that contain workstations using DHCP (so that Samba/Windows servers and statically configured Samba/Windows clients can still update using 'ipconfig /registerdns') and configure the following settings:

Computer Configuration
Policies
Administrative Templates
Network
DNS Client
Dynamic Update = Disabled
Register PTR Records = Disabled

blurrrr · 13. Mrz 2021

Jo, das mit den "Dynamic Updates" meinte ich... PTR-Records sind ja eigentlich nur für die Reverse-Zonen, aber würde in diesem Kontext dann vermutlich auch noch Theater machen... (sofern entsprechende Zonen überhaupt angelegt wurden). Müsste man ggf. auch einfach mal in den Wireshark-Mitschnitt in die Pakete schauen.

apn · Gestern um 13:15

moin, bin hier gelanden nach einer suche zu einem ähnlichen problem, aber gleichen logs.
danke, das hat mich in die richtige richtung geschickt.

sind nur heute nicht mehr errors, sondern warnings mit einer zusätzlichen error

2024/11/06 16:00:21.718 database Error
samba_dlz: failed to modify DC=PCxy,DC=office.abc.com,CN=MicrosoftDNS,DC=DomainDnsZones,DC=office,DC=abc,DC=com - WERR_GEN_FAILURE

2024/11/06 16:00:21.701 update-security warning
client @0x7efd20002cc0 192.168.x.y#50138: update 'office.abc.com/IN' denied

ich hab das, statt den Dynamic Update = Disabled zu setzen erstmal gelöst mit
Computer Configuration > Policies > Administrative Templates > Network > DNS Client > Update Security Level = Only secure
ich hoffe das dagegen nichts spricht?

tut mir leid, ich weiss das ist ein uraltes thema, aber das problem existiert immer noch, und ich wollte deshalb nicht einen neues thema öffnen weil die alten beiträge wertvoll waren.[/ICODE]