Integrowanie systemu Windows DNS z istniejącą przestrzenią nazw DNS
W tym artykule opisano sposób integracji systemu Windows DNS z organizacją, która ma już zaimplementowana przestrzeń nazw DNS, w której serwer DNS autorytatywny dla strefy o nazwie domeny usługi Active Directory nie obsługuje RFC 2136 (aktualizacje dynamiczne).
Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 255913
Podsumowanie
Jedną z funkcji systemu nazw domen systemu Windows (DNS) jest obsługa aktualizacji hosta dynamicznego (udokumentowana w dokumencie RFC 2136). Aby skorzystać z tej funkcji, system DNS systemu Windows można wdrożyć w środowiskach, które nie mają innych serwerów DNS, a także w środowiskach, które mają już zaimplementowane niedynamizowane serwery DNS (takie jak BIND 4.9.7 i starsze itd.). Podczas wdrażania systemu Windows DNS w środowisku z zaimplementowanymi serwerami BIND istnieje kilka opcji integracji:
- Migrowanie stref z nie dynamicznych autorytatywnych serwerów DNS do serwerów z systemem Windows DNS.
- Delegowanie podrzędnych domen DNS w nadrzędnej domenie DNS. W przypadku nazw domen usługi Active Directory, które nie mają tej samej nazwy co katalog główny strefy, delegowaj poddomenę do systemu Windows DNS. Jeśli na przykład nazwa domeny usługi Active Directory to
dev.reskit.com
, a strefa zawierająca tę nazwę toreskit.com
, delegowaniedev.reskit.com
do serwera z systemem Windows z systemem DNS. - Delegowanie każdej z domen podrzędnych używanych przez rekordy lokalizatora kontrolera domeny (DC) (rekordy SRV) na serwer z systemem Windows. Te poddomeny to
_msdcs.reskit.com
,_sites.reskit.com
,_tcp.reskit.com
i_udp.reskit.com
. Ta opcja będzie używana, gdy nazwy domen usługi Active Directory (na przykładreskit.com
), które są takie same jak nazwa katalogu głównego strefy (na przykładreskit.com
), nie mogą być delegowane bezpośrednio do serwera z systemem Windows z systemem DNS. Opcjonalnie klienci mogą być członkami domeny usługi Active Directory o nazwiereskit.com
, ale mogą rejestrować się w strefie DNS o nazwiedynamic.reskit.com
.
Ten artykuł dokumentuje czwartą opcję wymienioną powyżej, jak zintegrować system DNS systemu Windows z organizacją, która ma już zaimplementowaną przestrzeń nazw DNS, w której serwer DNS autorytatywny dla strefy o nazwie domeny usługi Active Directory nie obsługuje RFC 2136 (aktualizacje dynamiczne). W tym artykule omówiono również scenariusz, w którym członkowie domeny używają podstawowego sufiksu DNS innego niż nazwa domeny usługi Active Directory, aby umożliwić dynamiczną rejestrację rekordów DNS przez komputery z systemem Windows, gdy autorytatywny serwer DNS dla strefy o nazwie domeny usługi Active Directory nie obsługuje dynamicznych aktualizacji DNS.
Więcej informacji
Aby zintegrować system Windows DNS z istniejącą przestrzenią nazw opartą na niedynamialnych serwerach DNS, można delegować poddomeny używane przez rekordy lokalizatora (rekordy SRV), aby można było używać aktualizacji dynamicznych (zgodnie z RFC 2136). Wykonaj następujące czynności:
Na niedynamicznym serwerze DNS, który jest autorytatywny dla strefy o nazwie domeny usługi Active Directory, delegowaj następujące strefy na serwer z systemem Windows 2000 z systemem DNS:
_Udp. DnsDomainName
_Tcp. DnsDomainName
_Witryn. DnsDomainName
_msdcs. DnsDomainNameJeśli na przykład strefa główna ma nazwę
reskit.com
, delegować_udp.reskit.com
,_tcp.reskit.com
,_sites.reskit.com
, i_msdcs.reskit.com
na serwer oparty na systemie Windows.Należy delegować również dwie dodatkowe poddomeny:
Forestdnszones. ForestDNSName
Domaindnszones. DnsDomainNameNa serwerze z systemem Windows utwórz strefy przekazywania delegowane w kroku 1 i włącz strefy aktualizacji dynamicznej.
Aby utworzyć nowe strefy:
Uruchom Menedżera DNS na serwerze z systemem Windows.
Rozwiń odpowiedni serwer DNS w menedżerze DNS.
Kliknij prawym przyciskiem myszy folder Strefy wyszukiwania do przodu, a następnie kliknij pozycję Nowa strefa.
Po uruchomieniu Kreatora nowej strefy kliknij przycisk Dalej, wybierz pozycję "Strefa podstawowa", a może zaznacz pole wyboru Zapisz strefę w usłudze Active Directory, a następnie kliknij przycisk Dalej.
W przypadku stref zintegrowanych z usługą AD wybierz miejsce, w którym powinny znajdować się dane strefy, na wszystkie serwery DNS w domenie lub lesie lub do wszystkich usług DCS w domenie (tylko opcja w systemie Windows 2000).
Wpisz nazwę strefy w polu nazwy. Na przykład wpisz _msdcs.reskit.com.
Kliknij przycisk Dalej. Po przejrzeniu podsumowania kreatora kliknij przycisk Zakończ.
Aby umożliwić strefie akceptowanie aktualizacji dynamicznych:
- Korzystając z Menedżera DNS na serwerze systemu Windows z systemem DNS, kliknij prawym przyciskiem myszy nową strefę, kliknij pozycję Właściwości, a następnie kliknij kartę Ogólne.
- W polu Zezwalaj na dynamiczne Aktualizacje kliknij pozycję Tylko bezpieczne Aktualizacje (zalecane) lub Tak. Opcja Tylko bezpieczny Aktualizacje jest dostępna tylko po podwyższeniu poziomu serwera do kontrolera domeny. Powtarzaj ten proces do momentu utworzenia wszystkich czterech stref opisanych w kroku 1 i dopuszczenia aktualizacji dynamicznych. Umożliwia to dynamiczne rejestrowanie i cofanie rejestracji rekordów lokalizatora kontrolera domeny w systemie DNS.
Ponadto można utworzyć i skonfigurować pojedynczą strefę lub kilka stref, aby umożliwić klientom i serwerom dynamiczne rejestrowanie się w systemie Windows Server. Na przykład strefa o nazwie
dynamic.reskit.com
może służyć do rejestrowania wszystkich klientów i serwerów w sieci za pośrednictwem aktualizacji dynamicznych. Aby skonfigurować taką strefę:- Na niedynamicznym serwerze DNS, który jest autorytatywny dla strefy nadrzędnej (na przykład
reskit.com
), delegowaj nową strefę do serwera z systemem Windows z systemem DNS. Na przykład delegowanie elementudynamic.reskit.com
. strefy do systemu Windows Server. - Na serwerze z systemem Windows utwórz strefę wyszukiwania do przodu dla strefy delegowanej powyżej (
dynamic.reskit.com
). - Na serwerze z systemem Windows włącz strefy dla aktualizacji dynamicznych.
- Na niedynamicznym serwerze DNS, który jest autorytatywny dla strefy nadrzędnej (na przykład
Po uruchomieniu kontrolerów domeny systemu Windows usługa Netlogon próbuje zarejestrować kilka rekordów SRV w strefie autorytatywnej. Ponieważ strefy, w których mają być zarejestrowane rekordy SRV, zostały delegowane (w krokach 1 i 2) do serwera z systemem Windows, gdzie można je dynamicznie aktualizować, rejestracje te zakończą się pomyślnie. Ponadto kontroler domeny podejmie próbę zarejestrowania rekordów A wymienionych w pliku Netlogon.dns w strefie głównej (na przykład
reskit.com
). W takim przypadku, ponieważ strefa główna znajduje się na niedynamicznym serwerze DNS, te aktualizacje nie zakończą się pomyślnie. W dzienniku systemowym kontrolera domeny zostanie wygenerowane następujące zdarzenie:Typ zdarzenia: ostrzeżenie
Źródło zdarzenia: NETLOGON
Kategoria zdarzeń: Brak
Identyfikator zdarzenia: 5773
Data: <DateTime>
Godzina: <DateTime>
Użytkownik: N/A
Komputer: KONTROLER DOMENY
Opis:
Serwer DNS dla tego kontrolera domeny nie obsługuje dynamicznego systemu DNS. Dodaj rekordy DNS z pliku %SystemRoot%\System32\Config\netlogon.dns do serwera DNS obsługującego domenę, do którego odwołuje się ten plik.Aby poprawić to zachowanie:
Każdy kontroler domeny systemu Windows ma plik Netlogon.dns znajdujący się w folderze %SystemRoot%\System32\Config. Ten plik zawiera listę rekordów DNS, które kontroler domeny będzie próbował zarejestrować po uruchomieniu usługi Netlogon. Dobrym pomysłem jest utworzenie kopii tego pliku przed wprowadzeniem następujących zmian, dzięki czemu będziesz mieć listę oryginalnych rekordów, które kontroler domeny próbuje zarejestrować na serwerze DNS. Należy pamiętać, że każdy kontroler domeny będzie miał różne rekordy, ponieważ te rekordy są specyficzne dla każdej karty sieciowej na każdym kontrolerze domeny. Sprawdź plik Netlogon.dns, aby zidentyfikować wszystkie rekordy A w pliku. Rekordy A można zidentyfikować według typu rekordu następującego po deskryptorze klasy "IN". Na przykład dwa następujące wpisy to rekordy A:
reskit.com
. 600 W WERSJI 10.10.10.10
gc._msdcs.reskit.com
. 600 W WERSJI 10.10.10.10Liczba rekordów A w pliku Netlogon.dns zależy od liczby kart kontrolera domeny, liczby adresów IP skonfigurowanych dla każdej karty oraz roli kontrolera domeny. Rejestrowanie kontrolerów domeny:
- Jeden rekord A na każdy z jego adresów IP dla nazwy domeny.
- Jeśli kontroler domeny jest również serwerem wykazu globalnego (GC), rejestruje gc._msdcs. DnsForestName dla każdego z jego adresów IP.
Ponieważ nie dynamiczny serwer DNS nie akceptuje prób dynamicznego rejestrowania rekordów A przez kontroler domeny, rekordy A muszą być ręcznie skonfigurowane na autorytatywnym serwerze DNS (w przykładzie w tym artykule autorytatywny serwer DNS dla strefy
reskit.com
). Dodanie rekordu A odpowiadającego nazwie domeny (na przykładreskit.com
) nie jest wymagane do wdrożenia systemu Windows i może być potrzebne tylko wtedy, gdy klienci LDAP innych firm, którzy nie obsługują rekordów DNS SRV, wyszukują kontrolery DOMENY systemu Windows.Na serwerze z systemem Windows utwórz rekordy A specyficzne dla serwera GC, które zostały zidentyfikowane w kroku A w odpowiedniej strefie. Na przykład utwórz rekord A dla serwera GC w strefie _msdcs.reskit.com.
Na niedynamicznym serwerze DNS, który jest autorytatywny dla katalogu głównego strefy, utwórz rekordy A w strefie głównej (na przykład
reskit.com
) dla rekordów A, które nie są specyficzne dla serwera GC, które zostały zidentyfikowane w kroku A. Na przykład utwórz rekord A dlareskit.com
w strefiereskit.com
.Następujący klucz rejestru powinien służyć do wyłączania kontrolera domeny przed próbą zarejestrowania rekordów A widocznych w pliku Netlogon.dns. Ustaw wartość REG_DWORD RegisterDnsARecords na 0 (zero) w obszarze:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Aby rozwiązać ten problem: po utworzeniu lasu i domeny usługi Active Directory należy zintegrować usługę Active Directory z domenami DNS, za które odpowiada serwer systemu Windows z systemem DNS. Ponadto należy ponownie skonfigurować strefy, które zostały skonfigurowane do akceptowania aktualizacji dynamicznych w celu akceptowania tylko bezpiecznych aktualizacji dynamicznych.
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla