Integrowanie systemu Windows DNS z istniejącą przestrzenią nazw DNS

  • Artykuł

W tym artykule opisano sposób integracji systemu Windows DNS z organizacją, która ma już zaimplementowana przestrzeń nazw DNS, w której serwer DNS autorytatywny dla strefy o nazwie domeny usługi Active Directory nie obsługuje RFC 2136 (aktualizacje dynamiczne).

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 255913

Podsumowanie

Jedną z funkcji systemu nazw domen systemu Windows (DNS) jest obsługa aktualizacji hosta dynamicznego (udokumentowana w dokumencie RFC 2136). Aby skorzystać z tej funkcji, system DNS systemu Windows można wdrożyć w środowiskach, które nie mają innych serwerów DNS, a także w środowiskach, które mają już zaimplementowane niedynamizowane serwery DNS (takie jak BIND 4.9.7 i starsze itd.). Podczas wdrażania systemu Windows DNS w środowisku z zaimplementowanymi serwerami BIND istnieje kilka opcji integracji:

  • Migrowanie stref z nie dynamicznych autorytatywnych serwerów DNS do serwerów z systemem Windows DNS.
  • Delegowanie podrzędnych domen DNS w nadrzędnej domenie DNS. W przypadku nazw domen usługi Active Directory, które nie mają tej samej nazwy co katalog główny strefy, delegowaj poddomenę do systemu Windows DNS. Jeśli na przykład nazwa domeny usługi Active Directory to dev.reskit.com , a strefa zawierająca tę nazwę to reskit.com, delegowanie dev.reskit.com do serwera z systemem Windows z systemem DNS.
  • Delegowanie każdej z domen podrzędnych używanych przez rekordy lokalizatora kontrolera domeny (DC) (rekordy SRV) na serwer z systemem Windows. Te poddomeny to _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.comi _udp.reskit.com. Ta opcja będzie używana, gdy nazwy domen usługi Active Directory (na przykład reskit.com), które są takie same jak nazwa katalogu głównego strefy (na przykład reskit.com), nie mogą być delegowane bezpośrednio do serwera z systemem Windows z systemem DNS. Opcjonalnie klienci mogą być członkami domeny usługi Active Directory o nazwie reskit.com, ale mogą rejestrować się w strefie DNS o nazwie dynamic.reskit.com.

Ten artykuł dokumentuje czwartą opcję wymienioną powyżej, jak zintegrować system DNS systemu Windows z organizacją, która ma już zaimplementowaną przestrzeń nazw DNS, w której serwer DNS autorytatywny dla strefy o nazwie domeny usługi Active Directory nie obsługuje RFC 2136 (aktualizacje dynamiczne). W tym artykule omówiono również scenariusz, w którym członkowie domeny używają podstawowego sufiksu DNS innego niż nazwa domeny usługi Active Directory, aby umożliwić dynamiczną rejestrację rekordów DNS przez komputery z systemem Windows, gdy autorytatywny serwer DNS dla strefy o nazwie domeny usługi Active Directory nie obsługuje dynamicznych aktualizacji DNS.

Więcej informacji

Aby zintegrować system Windows DNS z istniejącą przestrzenią nazw opartą na niedynamialnych serwerach DNS, można delegować poddomeny używane przez rekordy lokalizatora (rekordy SRV), aby można było używać aktualizacji dynamicznych (zgodnie z RFC 2136). Wykonaj następujące czynności:

  1. Na niedynamicznym serwerze DNS, który jest autorytatywny dla strefy o nazwie domeny usługi Active Directory, delegowaj następujące strefy na serwer z systemem Windows 2000 z systemem DNS:

    _Udp. DnsDomainName
    _Tcp. DnsDomainName
    _Witryn. DnsDomainName
    _msdcs. DnsDomainName

    Jeśli na przykład strefa główna ma nazwę reskit.com, delegować _udp.reskit.com, _tcp.reskit.com, _sites.reskit.com, i _msdcs.reskit.com na serwer oparty na systemie Windows.

    Należy delegować również dwie dodatkowe poddomeny:

    Forestdnszones. ForestDNSName
    Domaindnszones. DnsDomainName

  2. Na serwerze z systemem Windows utwórz strefy przekazywania delegowane w kroku 1 i włącz strefy aktualizacji dynamicznej.

    Aby utworzyć nowe strefy:

    1. Uruchom Menedżera DNS na serwerze z systemem Windows.

    2. Rozwiń odpowiedni serwer DNS w menedżerze DNS.

    3. Kliknij prawym przyciskiem myszy folder Strefy wyszukiwania do przodu, a następnie kliknij pozycję Nowa strefa.

    4. Po uruchomieniu Kreatora nowej strefy kliknij przycisk Dalej, wybierz pozycję "Strefa podstawowa", a może zaznacz pole wyboru Zapisz strefę w usłudze Active Directory, a następnie kliknij przycisk Dalej.

    5. W przypadku stref zintegrowanych z usługą AD wybierz miejsce, w którym powinny znajdować się dane strefy, na wszystkie serwery DNS w domenie lub lesie lub do wszystkich usług DCS w domenie (tylko opcja w systemie Windows 2000).

    6. Wpisz nazwę strefy w polu nazwy. Na przykład wpisz _msdcs.reskit.com.

    7. Kliknij przycisk Dalej. Po przejrzeniu podsumowania kreatora kliknij przycisk Zakończ.

    Aby umożliwić strefie akceptowanie aktualizacji dynamicznych:

    1. Korzystając z Menedżera DNS na serwerze systemu Windows z systemem DNS, kliknij prawym przyciskiem myszy nową strefę, kliknij pozycję Właściwości, a następnie kliknij kartę Ogólne.
    2. W polu Zezwalaj na dynamiczne Aktualizacje kliknij pozycję Tylko bezpieczne Aktualizacje (zalecane) lub Tak. Opcja Tylko bezpieczny Aktualizacje jest dostępna tylko po podwyższeniu poziomu serwera do kontrolera domeny. Powtarzaj ten proces do momentu utworzenia wszystkich czterech stref opisanych w kroku 1 i dopuszczenia aktualizacji dynamicznych. Umożliwia to dynamiczne rejestrowanie i cofanie rejestracji rekordów lokalizatora kontrolera domeny w systemie DNS.

  3. Ponadto można utworzyć i skonfigurować pojedynczą strefę lub kilka stref, aby umożliwić klientom i serwerom dynamiczne rejestrowanie się w systemie Windows Server. Na przykład strefa o nazwie dynamic.reskit.com może służyć do rejestrowania wszystkich klientów i serwerów w sieci za pośrednictwem aktualizacji dynamicznych. Aby skonfigurować taką strefę:

    1. Na niedynamicznym serwerze DNS, który jest autorytatywny dla strefy nadrzędnej (na przykład reskit.com), delegowaj nową strefę do serwera z systemem Windows z systemem DNS. Na przykład delegowanie elementu dynamic.reskit.com. strefy do systemu Windows Server.
    2. Na serwerze z systemem Windows utwórz strefę wyszukiwania do przodu dla strefy delegowanej powyżej (dynamic.reskit.com).
    3. Na serwerze z systemem Windows włącz strefy dla aktualizacji dynamicznych.

  4. Po uruchomieniu kontrolerów domeny systemu Windows usługa Netlogon próbuje zarejestrować kilka rekordów SRV w strefie autorytatywnej. Ponieważ strefy, w których mają być zarejestrowane rekordy SRV, zostały delegowane (w krokach 1 i 2) do serwera z systemem Windows, gdzie można je dynamicznie aktualizować, rejestracje te zakończą się pomyślnie. Ponadto kontroler domeny podejmie próbę zarejestrowania rekordów A wymienionych w pliku Netlogon.dns w strefie głównej (na przykład reskit.com). W takim przypadku, ponieważ strefa główna znajduje się na niedynamicznym serwerze DNS, te aktualizacje nie zakończą się pomyślnie. W dzienniku systemowym kontrolera domeny zostanie wygenerowane następujące zdarzenie:

    Typ zdarzenia: ostrzeżenie
    Źródło zdarzenia: NETLOGON
    Kategoria zdarzeń: Brak
    Identyfikator zdarzenia: 5773
    Data: <DateTime>
    Godzina: <DateTime>
    Użytkownik: N/A
    Komputer: KONTROLER DOMENY
    Opis:
    Serwer DNS dla tego kontrolera domeny nie obsługuje dynamicznego systemu DNS. Dodaj rekordy DNS z pliku %SystemRoot%\System32\Config\netlogon.dns do serwera DNS obsługującego domenę, do którego odwołuje się ten plik.

    Aby poprawić to zachowanie:

    1. Każdy kontroler domeny systemu Windows ma plik Netlogon.dns znajdujący się w folderze %SystemRoot%\System32\Config. Ten plik zawiera listę rekordów DNS, które kontroler domeny będzie próbował zarejestrować po uruchomieniu usługi Netlogon. Dobrym pomysłem jest utworzenie kopii tego pliku przed wprowadzeniem następujących zmian, dzięki czemu będziesz mieć listę oryginalnych rekordów, które kontroler domeny próbuje zarejestrować na serwerze DNS. Należy pamiętać, że każdy kontroler domeny będzie miał różne rekordy, ponieważ te rekordy są specyficzne dla każdej karty sieciowej na każdym kontrolerze domeny. Sprawdź plik Netlogon.dns, aby zidentyfikować wszystkie rekordy A w pliku. Rekordy A można zidentyfikować według typu rekordu następującego po deskryptorze klasy "IN". Na przykład dwa następujące wpisy to rekordy A:

      reskit.com. 600 W WERSJI 10.10.10.10
      gc._msdcs.reskit.com. 600 W WERSJI 10.10.10.10

      Liczba rekordów A w pliku Netlogon.dns zależy od liczby kart kontrolera domeny, liczby adresów IP skonfigurowanych dla każdej karty oraz roli kontrolera domeny. Rejestrowanie kontrolerów domeny:

      • Jeden rekord A na każdy z jego adresów IP dla nazwy domeny.
      • Jeśli kontroler domeny jest również serwerem wykazu globalnego (GC), rejestruje gc._msdcs. DnsForestName dla każdego z jego adresów IP.

    2. Ponieważ nie dynamiczny serwer DNS nie akceptuje prób dynamicznego rejestrowania rekordów A przez kontroler domeny, rekordy A muszą być ręcznie skonfigurowane na autorytatywnym serwerze DNS (w przykładzie w tym artykule autorytatywny serwer DNS dla strefy reskit.com). Dodanie rekordu A odpowiadającego nazwie domeny (na przykład reskit.com) nie jest wymagane do wdrożenia systemu Windows i może być potrzebne tylko wtedy, gdy klienci LDAP innych firm, którzy nie obsługują rekordów DNS SRV, wyszukują kontrolery DOMENY systemu Windows.

      Na serwerze z systemem Windows utwórz rekordy A specyficzne dla serwera GC, które zostały zidentyfikowane w kroku A w odpowiedniej strefie. Na przykład utwórz rekord A dla serwera GC w strefie _msdcs.reskit.com.

      Na niedynamicznym serwerze DNS, który jest autorytatywny dla katalogu głównego strefy, utwórz rekordy A w strefie głównej (na przykład reskit.com) dla rekordów A, które nie są specyficzne dla serwera GC, które zostały zidentyfikowane w kroku A. Na przykład utwórz rekord A dla reskit.com w strefie reskit.com .

    3. Następujący klucz rejestru powinien służyć do wyłączania kontrolera domeny przed próbą zarejestrowania rekordów A widocznych w pliku Netlogon.dns. Ustaw wartość REG_DWORD RegisterDnsARecords na 0 (zero) w obszarze:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. Aby rozwiązać ten problem: po utworzeniu lasu i domeny usługi Active Directory należy zintegrować usługę Active Directory z domenami DNS, za które odpowiada serwer systemu Windows z systemem DNS. Ponadto należy ponownie skonfigurować strefy, które zostały skonfigurowane do akceptowania aktualizacji dynamicznych w celu akceptowania tylko bezpiecznych aktualizacji dynamicznych.