如何修复 Active Directory 中的动态 DNS 记录权限

请继续关注本文，了解如何修改 Active Directory 中的动态 DNS 记录更新和凭据权限，并使用 PowerShell 自动修复它们。

想要了解有关使用 PowerShell 管理 DNS 记录的更多信息？为什么不在这个有关管理 DNS 记录的详细分步教程中学习并开始了解 DNS 记录。

如果您一直关注我过去的一些博客文章，您会注意到我一直在努力解决一些 DNS 问题。几个月前，当一些重要的 DNS 记录不断被删除时，这个问题就暴露出来了。

没有人能够弄清楚这种情况何时或为何发生的模式或时间表。经过大量的研究和故障排除，我相信我至少已经发现了所有的根本原因。这是我对其中之一的解决方案。

我遇到的问题之一是，通过 Microsoft 动态 DNS 流程创建的记录的凭据权限被限制了。

我在 Active Directory 环境中工作，所有区域都是 AD 集成的，这意味着所有 DNS 记录实际上都是 AD 对象；更具体地说，位于 DC=%MYZONE%,CN=MicrosoftDNS,DC=ForestDnsZones,DC=my,DC=domain,DC=local 上下文中的 dnsNode 对象。这些对象在 Active Directory 中不断失去适当的 DNS 权限。

我使用 DNS 记录 ACL 脚本发现了 5 条记录显示了此行为。经过一些福尔摩斯风格的调查后，我设法找到了一个模式。大约在同一时间，所有记录这些记录的服务器都被重新镜像。答对了！

事实证明，每当计算机进入域并注册其 DNS 记录、重新映像或重新安装操作系统而没有删除 DNS 记录或删除 AD 计算机帐户时，作为过程的一部分，可能会出现问题。

就我而言，DNS 记录仍然有一个孤立的 SID。

这是操作系统重新安装前的先前计算机帐户对象的 SID。动态 DNS 凭据权限不会随新计算机对象自动更新。

如果您要重新调整名称的用途，最佳做法是从域中删除计算机并删除 DNS 记录，然后重新安装操作系统。但是，如果您在一家大型企业中并且没有这个脚本咳咳，那么它可能会被忘记。这就是我创建这个解决方案的原因。

我在每天运行的计划任务下设置了这个脚本。它枚举区域中所有动态创建的记录并执行三项检查

• 确保记录的所有者是计算机帐户（或 DHCP 服务帐户）
• 计算机帐户（或 DHCP 服务帐户）存在 ACE
• ACE 至少具有修改或完全控制访问权限

如果其中任何一个关闭，它将更正它们并在 C:\Windows\Temp\Resolve-DynamicDnsRecordPermissionProblem.ps1.log 中创建活动日志，然后通过电子邮件发送日志。

我承认这个脚本可以大大改进。对于修复动态 dns 更新凭证权限来说，它对于我通常喜欢做的事情来说太大了，我可以看到到处都有优化的机会，但走到这一步花了我很长时间，老实说，我现在懒得修复它。有用。

我很想听听在他们的环境中尝试过的人的意见！我强烈建议首先使用 -WhatIf。要获取此脚本的最新版本，请随时从我的 GitHub 存储库下载它或我的任何其他脚本。

.\ResolveDynamicDnsRecordPermissionProblem.ps1 -Zone myzone.com -WhatIf

它不会删除任何记录（这是 v2，v1 是一个 niiiiiightmare），但它会进行无人值守的修改。