Integrazione di DNS Windows in uno spazio dei nomi DNS esistente

  • Articolo

Questo articolo descrive come integrare DNS Windows in un'organizzazione che dispone già di uno spazio dei nomi DNS implementato in cui il server DNS autorevole per la zona con il nome del dominio di Active Directory non supporta RFC 2136 (aggiornamenti dinamici).

Si applica a: Windows Server 2012 R2
Numero KB originale: 255913

Riepilogo

Una funzionalità di Windows Domain Name System (DNS) è il supporto per gli aggiornamenti host dinamici (documentati in RFC 2136). Per sfruttare questa funzionalità, DNS Windows può essere distribuito in ambienti che non dispongono di altri server DNS, nonché in ambienti in cui sono già implementati server DNS non dinamici, ad esempio BIND 4.9.7 e versioni precedenti e così via. Quando si distribuisce DNS Windows in un ambiente in cui sono già implementati server BIND, sono disponibili diverse opzioni di integrazione:

  • Eseguire la migrazione di zone da server DNS autorevoli non dinamici a server che eseguono DNS Windows.
  • Delegare domini DNS figlio in un dominio DNS padre. Per i nomi di dominio di Active Directory che non hanno lo stesso nome della radice di una zona, delegare il sottodominio a DNS Windows. Ad esempio, se il nome del dominio di Active Directory è dev.reskit.com e la zona che contiene questo nome è reskit.com, delegare dev.reskit.com a un server basato su Windows che esegue DNS.
  • Delegare ognuno dei sottodomini usati dai record del localizzatore del controller di dominio (record SRV) a un server basato su Windows. Questi sottodomini sono _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.come _udp.reskit.com. Questa opzione viene usata quando i nomi di dominio di Active Directory ,ad esempio , reskit.comche corrispondono al nome della radice di una zona (ad esempio, reskit.com), non possono essere delegati direttamente a un server basato su Windows che esegue DNS. Facoltativamente, i client possono essere membri del dominio di Active Directory denominato reskit.com, ma possono registrarsi nella zona DNS denominata dynamic.reskit.com.

Questo articolo illustra la quarta opzione elencata in precedenza, come integrare IL DNS di Windows in un'organizzazione in cui è già implementato uno spazio dei nomi DNS in cui il server DNS autorevole per la zona con il nome del dominio di Active Directory non supporta RFC 2136 (aggiornamenti dinamici). Questo articolo illustra anche uno scenario in cui i membri del dominio usano un suffisso DNS primario diverso dal nome del dominio di Active Directory per consentire la registrazione dinamica dei record DNS da parte dei computer basati su Windows quando il server DNS autorevole per la zona con il nome del dominio di Active Directory non supporta gli aggiornamenti DNS dinamici.

Ulteriori informazioni

Per integrare DNS Windows in uno spazio dei nomi esistente basato su server DNS non dinamici, è possibile delegare i sottodomini usati dai record di localizzatore (record SRV) in modo che possano essere usati gli aggiornamenti dinamici (come da RFC 2136). attenersi alla seguente procedura:

  1. Nel server DNS non dinamico autorevole per la zona con il nome del dominio active directory delegare le zone seguenti a un server basato su Windows 2000 che esegue DNS:

    _Udp. DNSDomainName
    _Tcp. DNSDomainName
    _Siti. DNSDomainName
    _msdcs. DNSDomainName

    Ad esempio, se la zona radice è denominata reskit.com, delegato _udp.reskit.com, _tcp.reskit.com, _sites.reskit.come _msdcs.reskit.com al server basato su Windows.

    È necessario delegare anche due sottodomini aggiuntivi:

    ForestDnsZones. ForestDNSName
    DomainDnsZones. DNSDomainName

  2. Nel server basato su Windows creare le zone di inoltro delegate nel passaggio 1 e abilitare le zone per l'aggiornamento dinamico.

    Per creare le nuove zone:

    1. Avviare Gestione DNS nel server Windows.

    2. Espandere il server DNS appropriato in Gestione DNS.

    3. Fare clic con il pulsante destro del mouse sulla cartella Zone di ricerca diretta e quindi scegliere Nuova zona.

    4. All'avvio della Creazione guidata nuova zona, fare clic su Avanti, selezionare "Zona primaria" e selezionare la casella di controllo Archivia la zona in Active Directory e quindi fare clic su Avanti.

    5. Per le zone integrate in Active Directory, selezionare la posizione in cui devono essere visualizzati i dati della zona, a tutti i server DNS nel dominio o nella foresta o a tutti i dcs nel dominio (solo opzione in Windows 2000).

    6. Digitare il nome della zona nella casella del nome. Ad esempio, digitare _msdcs.reskit.com.

    7. Fare clic su Avanti. Dopo aver esaminato il riepilogo della procedura guidata, fare clic su Fine.

    Per consentire alla zona di accettare gli aggiornamenti dinamici:

    1. Usando Gestione DNS nel server Windows che esegue DNS, fare clic con il pulsante destro del mouse sulla nuova zona, scegliere Proprietà e quindi fare clic sulla scheda Generale.
    2. Nella casella Consenti Aggiornamenti dinamica fare clic su Solo Aggiornamenti sicuro (scelta consigliata) o Sì. L'opzione Only Secure Aggiornamenti è disponibile solo dopo che il server è stato promosso a controller di dominio. Ripetere questo processo fino a quando non sono state create tutte e quattro le zone descritte nel passaggio 1 e non sono stati consentiti gli aggiornamenti dinamici. In questo modo i record del localizzatore del controller di dominio possono essere registrati in modo dinamico e deregistrati in DNS.

  3. Inoltre, è possibile creare e configurare una singola zona o più zone per consentire ai client e ai server di registrarsi dinamicamente con il server Windows. Ad esempio, una zona denominata dynamic.reskit.com può essere usata per registrare tutti i client e i server in una rete tramite aggiornamenti dinamici. Per configurare una zona di questo tipo:

    1. Nel server DNS non dinamico autorevole per la zona padre ,ad esempio , reskit.comdelegare una nuova zona al server basato su Windows che esegue DNS. Ad esempio, delegare l'oggetto dynamic.reskit.com. zona al server Windows.
    2. Nel server Windows creare una zona di ricerca diretta per la zona delegata precedente (dynamic.reskit.com).
    3. Nel server Windows abilitare le zone per gli aggiornamenti dinamici.

  4. All'avvio dei controller di dominio Windows, il servizio Netlogon tenta di registrare diversi record SRV nella zona autorevole. Poiché le zone in cui devono essere registrati i record SRV sono state delegate (nei passaggi 1 e 2) a un server Windows in cui possono essere aggiornate dinamicamente, queste registrazioni avranno esito positivo. Inoltre, un controller di dominio tenterà di registrare i record A elencati nel file Netlogon.dns nella zona radice ,ad esempio reskit.com. In questo caso, poiché la zona radice si trova in un server DNS non dinamico, questi aggiornamenti non avranno esito positivo. Nel log di sistema del controller di dominio verrà generato l'evento seguente:

    Tipo evento: Avviso
    Origine evento: NETLOGON
    Categoria di eventi: Nessuna
    ID evento: 5773
    Date: <DateTime>
    Ora: <DateTime>
    Utente: N/D
    Computer: DC
    Descrizione:
    Il server DNS per questo controller di dominio non supporta DNS dinamico. Aggiungere i record DNS dal file %SystemRoot%\System32\Config\netlogon.dns al server DNS che serve il dominio a cui si fa riferimento in tale file.

    Per correggere questo comportamento:

    1. Ogni controller di dominio Windows ha un file Netlogon.dns che si trova nella cartella %SystemRoot%\System32\Config. Questo file contiene un elenco di record DNS che il controller di dominio tenterà di registrare all'avvio del servizio Netlogon. È consigliabile creare una copia di questo file prima di apportare le modifiche seguenti in modo da avere un elenco dei record originali che il controller di dominio tenta di registrare nel server DNS. Si noti che ogni controller di dominio avrà record diversi perché questi record sono specifici di ogni scheda di rete in ogni controller di dominio. Esaminare il file Netlogon.dns per identificare tutti i record A nel file. È possibile identificare i record A in base al tipo di record seguendo il descrittore di classe "IN". Ad esempio, le due voci seguenti sono record A:

      reskit.com. 600 IN A 10.10.10.10
      gc._msdcs.reskit.com. 600 IN A 10.10.10.10

      Il numero di record A nel file Netlogon.dns dipende dal numero di schede del controller di dominio, dal numero di indirizzi IP con cui è stata configurata ogni scheda e dal ruolo del controller di dominio. Registrazione controller di dominio:

      • Un record A per ogni indirizzo IP per il nome del dominio.
      • Se il controller di dominio è anche un server di catalogo globale (GC), registra gc._msdcs. DnsForestName per ognuno dei relativi indirizzi IP.

    2. Poiché il server DNS non dinamico non accetta i tentativi del controller di dominio di registrare dinamicamente i record A, i record A devono essere configurati manualmente nel server DNS autorevole (nell'esempio in questo articolo, il server DNS autorevole per la zona reskit.com). L'aggiunta del record A corrispondente al nome del dominio , ad esempio , reskit.comnon è necessaria per la distribuzione di Windows e può essere necessaria solo se i client LDAP di terze parti che non supportano i record DNS SRV cercano i controller di dominio Windows.

      Nel server Windows creare i record A specifici del server GC identificati nel passaggio A, nella zona appropriata. Ad esempio, creare un record A per il server GC nella zona _msdcs.reskit.com.

      Nel server DNS non dinamico autorevole per la radice della zona creare record A nella zona radice ,ad esempio , reskit.comper i record A non specifici del server GC identificati nel passaggio A. Ad esempio, creare un record A per reskit.com nella reskit.com zona.

    3. La chiave del Registro di sistema seguente deve essere usata per disabilitare il controller di dominio dal tentativo di registrare i record A visualizzati nel file Netlogon.dns. Impostare il valore REG_DWORD RegisterDnsARecords su 0 (zero) in:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. Per correggere questo comportamento: dopo aver creato una foresta e un dominio di Active Directory, è necessario integrare Active Directory con i domini DNS di cui è responsabile il server Windows che esegue DNS. È inoltre necessario riconfigurare le zone configurate per accettare gli aggiornamenti dinamici per accettare solo aggiornamenti dinamici sicuri.