<div dir="ltr"><div class="gmail_extra"><div><div class="gmail_signature" data-smartmail="gmail_signature"><br></div></div><div class="gmail_quote">On Wed, Dec 20, 2017 at 8:54 AM, Mukund Sivaraman <span dir="ltr"><<a href="mailto:muks@isc.org" target="_blank">muks@isc.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Wed, Dec 20, 2017 at 01:27:17PM +0000, MAYER Hans wrote:<br>
><br>
> Dear Mukund,<br>
><br>
> Many thanks for coming back.<br>
><br>
> > You'll have to explain what you mean better for a more specific answer,<br>
> > but see the manual for the "allow-update" ACL config option<br>
><br>
> In my zone configuration I have an “allow-update” statement.<br>
> Here I define all networks which are allowed to dynamically update the DNS entries.<br>
><br>
> But my zone contains other IP addresses too. Not only those of the PCs.<br>
> These are static names/addresses which are seldom changed.<br>
><br>
> And of course the complete zone is a dynamic zone.<br>
><br>
> And I don’t wont that this static names can by changed by someone out of an IP range, where it is allowed.<br>
> I didn’t find any hint to block certain IP ranges to be updated within a dynamic zone.<br>
><br>
> Hopefully this explains my question a little bit better.<br>
<br>
</span>The allow-update ACL applies to the whole zone. The ACL code doesn't<br>
discriminate using the contents of the update.<br>
<br>
You could put the names requiring update into a child zone (but<br>
obviously it'll add another label) or another zone altogether (but<br>
obviously it'll have a different name).<br>
<span class="HOEnZb"><font color="#888888"><br>
                Mukund</font></span></blockquote><div><br></div><div>Just guessing here, but I see a TXT record beside each A record, and am told that Windows clients check the TXT record to see if they "own" the A record.  The TXT record is hex encoded data, maybe the client identifier.  So if you created a TXT record for each A record, like:</div><div>servername  IN  TXT  "do not dynamically update"  (or might need to be valid hex?)</div><div>servername  IN  A   10.11.12.13</div><div><br></div><div>That might reduce the chances of a Windows client overwriting it.</div><div><br></div><div>-- </div><div>Bob Harold</div><div> </div></div><br></div></div>