Zoek op trefwoord, naam of systeem:

Blog

  • 11
    maart
    2016
    Michiel Velthuis, Technology Professional

    VDI? Houd uw DNS schoon, laat DHCP het werk doen!

    Steeds meer bedrijven stappen over naar een “Virtual Desktop Infrastructure” (VDI) omgeving. Naast alle keuzes die gemaakt moeten worden op het gebied van hypervisor, broker, persistent of non-persistent desktops, etc., is het ook belangrijk de huidige infrastructuur te waarborgen en deze hierop in te richten.

    In deze blog ligt de nadruk op Microsoft DHCP en DNS Dynamic Updates omdat ik in de praktijk vervuiling tegenkom wat op termijn voor issues kan zorgen.

    Deze vervuiling ontstaat, omdat bij het aanmaken van de virtuele desktop deze zichzelf registreert in DNS met zijn verkregen IP-adres en Fully Qualified Domain Name. Dit gebeurt middels het computeraccount dat in Active Directory aangemaakt wordt. Dit account met zijn unieke SID (Security Identifier) is vervolgens eigenaar van het DNS record. VDI’s worden vaak verwijderd en/of opnieuw aangemaakt. In veel gevallen zal het AD account, waarmee de computer zich in DNS geregistreerd heeft, dan ook verwijderd worden. De virtuele desktop wordt vervolgens opnieuw aangemaakt met een nieuw bijbehorend AD computeraccount en een nieuwe SID. Dit computeraccount wil zich vervolgens opnieuw in DNS registreren met het nieuwe IP-adres wat is toegewezen aan de VD door de DHCP server. Dit is echter niet mogelijk, omdat het DNS record al bestaat en het nieuwe AD account geen rechten heeft op het bestaande DNS record. Hierdoor blijft het DNS record bestaan met een verkeerd IP-adres en onbekende eigenaar (Account Unknown). De computernaam en het IP-adres kloppen vervolgens niet, waardoor het onmogelijk is om bij de VDI te komen middels zijn computernaam. Dit kan nadelig zijn voor het support, aangezien de applicatie Remote Assistance bijvoorbeeld niet functioneert op computernaam.

    Dit kan “eenvoudig” opgelost worden door DHCP de DNS registratie uit te laten voeren. Gebruik hiervoor Dynamische DNS updates.

    Het is verstandig om voor de VDI omgeving een eigen DHCP Scope te creëren in DHCP. Microsoft geeft aan hier een korte lease voor in te stellen. Stel daarom deze DHCP scope in op een korte lease van ca. 1 uur. Dit is overigens ook best practice voor VMware. Zet de lease niet te lang, want als er veel virtuele desktops tegelijk worden aangemaakt zullen deze een IP-adres van de DHCP server krijgen die op dat moment vrij is. Als alle IP-adressen binnen de scope zijn uitgegeven en deze een lange lease hebben zal de DHCP scope op den duur vol raken. De clients die zich vervolgens aanmelden bij de DHCP server krijgen geen IP-adres meer. Stel vervolgens in de VDI scope de eigenschappen van DNS in. Selecteer “Enable DNS dynamic updates according to the settings below” en selecteer “Always dynamically update DNS record”. Dit zorgt er voor dat uw DHCP server de DNS registraties zal verrichten. “Dynamically update DNS A and PTR records for DHCP clients that do not request updates (for example, clients running Windows NT 4.0)” kan aangezet worden als er gebruik wordt gemaakt van een mixed environment (Linux, Mac).

    Stel vervolgens op alle Microsoft DHCP servers bij de IP4/IP6 Geavanceerde eigenschappen een account in waarmee de Secure Dynamic DNS Update registratie verricht kan worden. Dit mag géén administrator account zijn, maar dit moet een normaal AD account zijn binnen het domein. Dit account zorgt ervoor dat alle DHCP servers onder dezelfde credentials de DNS registratie uit kunnen voeren en de records vervolgens bij kunnen werken.

       

    Vervolgens kan er in DNS een nieuwe Forward Lookup Zone aangemaakt worden waar de VDI’s zich in registeren (kan ook op de bestaande Forward Lookup Zones). Zorg er voor dat deze Active Directory integrated is. Zet in de eigenschappen van de Zone de “Dynamic Update” optie op “Secure Only”. Voor secure Dynamic DNS updates hebben wij het Dnsupdate AD account aangemaakt.

    Geef vervolgens uw DHCP servers rechten om de records bij te mogen werken door ze in de volgende AD groep te plaatsen: DnsUpdateProxy (beschrijving: DNS clients who are permitted to perform dynamic updates on behalf of some other clients (such as DHCP servers)). Dit is noodzakelijk, omdat alle DHCP servers de DNS records bij moeten kunnen werken.

    Op de VDI/client zal in de meeste gevallen de checkbox “register this connection’s addresses in DNS” aan staan om de clients in DNS te registeren.

    Met bovengenoemde instellingen zal de DHCP-server de DNS updates uitvoeren van de FQDN-naam en de IP-adresleasegegevens van de client, ongeacht of de client een aanvraag heeft ingediend om zijn eigen updates uit te voeren.

    Naast deze optie kan in DNS ook Scavenging aangezet worden. Scavenging kan op de DNS servers geactiveerd worden.

        

    Vervolgens kun je per Zone de Scavenging optie aanzetten.

       

    Ook kan de optie “Set Aging/Scavenging for All Zones” in de DNS gebruikt worden om Scavenging voor alle zones binnen DNS te activeren.

    DNS Aging en Scavenging zorgen er voor dat automatisch stale DNS records worden geschoond na een periode waarop deze niet zijn ververst. Standaard staat de interval ingesteld op 7 dagen. Als er een aparte DNS zone is aangemaakt voor de VDI-omgeving kan deze interval op 1 dag gezet worden. Static DNS records worden niet verwijderd door DNS scavenging. In het host (A) DNS record kan de status worden opgevraagd.

    Deze opties worden al veel toegepast. Met de komst van VDI is het verstandig de DNS en DHCP omgevingen schoon te houden voor een stabiele omgeving.

    Voor vragen en/of opmerkingen kunt u gerust contact met mij opnemen via michiel.velthuis@conoscenza.nl.

mm

Auteur: Michiel Velthuis,

Trefwoorden: Microsoft

Email Michiel Velthuis

Lees alle blogberichten van Michiel Velthuis

Deel dit bericht

Geen reacties

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *