Интеграция Windows DNS в существующее пространство имен DNS

В этой статье описывается, как интегрировать Windows DNS в организацию, в которой уже реализовано пространство имен DNS, в котором DNS-сервер, полномочный для зоны с именем домена Active Directory, не поддерживает RFC 2136 (динамические обновления).

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 255913

Сводка

Одной из функций системы доменных имен Windows (DNS) является поддержка динамических обновлений узла (описано в RFC 2136). Чтобы воспользоваться преимуществами этой функции, Windows DNS можно развернуть в средах, в которых нет других DNS-серверов, а также в средах, в которых уже реализованы нединамовые DNS-серверы (например, BIND 4.9.7 и более ранних версий и т. д.). При развертывании Windows DNS в среде, в которой уже реализованы серверы BIND, у вас есть несколько вариантов интеграции:

• Перенос зон с нединамических полномочных DNS-серверов на серверы Под управлением Windows DNS.
• Делегируйте дочерние домены DNS в родительском домене DNS. Для доменных имен Active Directory, которые не имеют того же имени, что и корневой каталог зоны, делегируйте поддомен в Windows DNS. Например, если имя домена Active Directory — , dev.reskit.com а зона, содержащая это имя, — reskit.com, делегат dev.reskit.com на сервер Под управлением Windows под управлением DNS.
• Делегируйте каждый из поддоменов, используемых записями указателя контроллера домена (записи SRV), на сервер под управлением Windows. Эти поддомены: _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.comи _udp.reskit.com. Этот параметр будет использоваться, когда доменные имена Active Directory (например, reskit.com), которые совпадают с именем корня зоны (например, reskit.com), не могут быть делегированы непосредственно серверу Под управлением Windows, на котором выполняется DNS. При необходимости клиенты могут быть членами домена Active Directory с именем reskit.com, но могут регистрироваться в зоне DNS с именем dynamic.reskit.com.

В этой статье описан четвертый вариант, описанный выше, как интегрировать Windows DNS в организацию, в которой уже реализовано пространство имен DNS, в котором DNS-сервер, который является полномочным для зоны с именем домена Active Directory, не поддерживает RFC 2136 (динамические обновления). В этой статье также рассматривается сценарий, в котором члены домена используют основной DNS-суффикс, отличный от имени домена Active Directory, чтобы разрешить динамическую регистрацию записей DNS на компьютерах под управлением Windows, если DNS-сервер, полномочный для зоны с именем домена Active Directory, не поддерживает динамические обновления DNS.

Дополнительная информация

Чтобы интегрировать Windows DNS в существующее пространство имен на основе нединамических DNS-серверов, можно делегировать поддомены, используемые записями указателя (записями SRV), чтобы можно было использовать динамические обновления (в соответствии с RFC 2136). Выполните следующие действия:

1. На нединамичном DNS-сервере, который является полномочным для зоны с именем домена Active Directory, делегируйте следующие зоны серверу под управлением Windows 2000 под управлением DNS:

   _Udp. DNSDomainName
   _Tcp. DNSDomainName
   _Сайтов. DNSDomainName
   _msdcs. DNSDomainName

   Например, если корневая зона называется reskit.com, делегируйте _udp.reskit.com, _tcp.reskit.com, _sites.reskit.comи _msdcs.reskit.com на сервер Под управлением Windows.

   Также необходимо делегировать два дополнительных поддомена:

   ForestDnsZones. ForestDNSName
   DomainDnsZones. DNSDomainName

2. На сервере Windows создайте зоны пересылки, делегированные на шаге 1, и включите зоны для динамического обновления.

   Чтобы создать новые зоны, выполните следующие действия:

   1. Запустите диспетчер DNS на сервере Windows.

   2. Разверните соответствующий DNS-сервер в диспетчере DNS.

   3. Щелкните правой кнопкой мыши папку Зоны прямого просмотра и выберите команду Создать зону.

   4. Когда запустится мастер создания зоны, нажмите кнопку Далее, выберите "Основная зона" и, возможно, выберите Сохранить зону в проверка Active Directory, а затем нажмите кнопку Далее.

   5. Для зон, интегрированных с AD, укажите, куда должны отправляться данные зоны: ко всем DNS-серверам в домене или лесу или ко всем контроллерам домена в домене (только в Windows 2000).

   6. Введите имя зоны в поле имя. Например, введите _msdcs.reskit.com.

   7. Нажмите кнопку "Далее". После просмотра сводки мастера нажмите кнопку Готово.

   Чтобы разрешить зоне принимать динамические обновления, выполните следующие действия.

   1. С помощью диспетчера DNS на сервере Windows, на котором выполняется DNS, щелкните правой кнопкой мыши новую зону, выберите пункт Свойства, а затем перейдите на вкладку Общие.
   2. В поле Разрешить динамические Обновления выберите Только безопасный Обновления (рекомендуется) или Да. Параметр Только безопасный Обновления доступен только после повышения уровня сервера до контроллера домена. Повторяйте этот процесс, пока не будут созданы все четыре зоны, описанные на шаге 1, и не будут разрешены динамические обновления. Это позволяет динамически регистрировать и отменять регистрацию записей указателя контроллера домена в DNS.

3. Кроме того, можно создать и настроить одну зону или несколько зон, чтобы клиенты и серверы могли динамически регистрироваться на сервере Windows. Например, зона с именем dynamic.reskit.com может использоваться для регистрации всех клиентов и серверов в сети с помощью динамических обновлений. Чтобы настроить такую зону, выполните следующие действия:

   1. На нединамичном DNS-сервере, который является полномочным для родительской зоны (например, reskit.com), делегируйте новую зону серверу Под управлением Windows под управлением DNS. Например, делегируйте dynamic.reskit.com. зона на сервере Windows.
   2. На сервере Windows создайте зону прямого просмотра для зоны, делегированной выше (dynamic.reskit.com).
   3. На сервере Windows включите зоны для динамических обновлений.

4. При запуске контроллеров домена Windows служба Netlogon пытается зарегистрировать несколько записей SRV в авторитетной зоне. Так как зоны, в которых должны быть зарегистрированы записи SRV, были делегированы (на шагах 1 и 2) серверу Windows, где их можно динамически обновлять, эти регистрации будут выполнены успешно. Кроме того, контроллер домена попытается зарегистрировать записи A, перечисленные в файле Netlogon.dns, в корневой зоне (например reskit.com, ). В этом случае, так как корневая зона находится на нединамичном DNS-сервере, эти обновления не будут выполнены. В системном журнале на контроллере домена будет создано следующее событие:

   Тип события: Предупреждение
   Источник события: NETLOGON
   Категория события: None
   Идентификатор события: 5773
   Дата: <DateTime>
   Время: <DateTime>
   Пользователь: Н/Д
   Компьютер: DC
   Описание:
   DNS-сервер для этого контроллера домена не поддерживает динамическую DNS. Добавьте записи DNS из файла %SystemRoot%\System32\Config\netlogon.dns на DNS-сервер, обслуживающий домен, указанный в этом файле.

   Чтобы исправить это поведение, выполните следующие действия:

   1. Каждый контроллер домена Windows имеет файл Netlogon.dns, расположенный в папке %SystemRoot%\System32\Config. Этот файл содержит список записей DNS, которые контроллер домена попытается зарегистрировать при запуске службы Netlogon. Рекомендуется создать копию этого файла перед внесением следующих изменений, чтобы у вас был список исходных записей, которые контроллер домена пытается зарегистрировать на DNS-сервере. Обратите внимание, что у каждого контроллера домена будут разные записи, так как они относятся к каждому сетевому адаптеру на каждом контроллере домена. Проверьте файл Netlogon.dns, чтобы определить все записи A в файле. Вы можете определить записи A по типу записи после дескриптора класса IN. Например, следующие две записи являются записями A:

      reskit.com. 600 IN A 10.10.10.10
      gc._msdcs.reskit.com. 600 IN A 10.10.10.10

      Количество записей A в файле Netlogon.dns зависит от количества адаптеров контроллера домена, количества IP-адресов, с помощью которых настроен каждый адаптер, и роли контроллера домена. Регистрация контроллеров домена:

      • Одна запись A на каждый ip-адрес для имени домена.
      • Если контроллер домена также является сервером глобального каталога (GC), он регистрирует gc._msdcs. DnsForestName для каждого из своих IP-адресов.

   2. Так как нединамическая DNS-сервер не принимает попытки контроллера домена динамически регистрировать записи A, записи A необходимо настроить вручную на авторитетном DNS-сервере (в примере в этой статье DNS-сервер является полномочным для зоны reskit.com). Добавление записи A, соответствующей имени домена (например, ), не требуется для развертывания Windows и может потребоваться только в том случае, если сторонние клиенты LDAP, не поддерживающие записи DNS SRV, reskit.comищут контроллеры домена Windows.

      На сервере Windows создайте записи A, относящиеся к серверу сборки мусора, которые были определены на шаге A, в соответствующей зоне. Например, создайте запись A для сервера сборки мусора в зоне _msdcs.reskit.com.

      На нединамичном DNS-сервере, который является полномочным для корня зоны, создайте записи A в корневой зоне (например, ) для записей A, не относящихся к серверу GC, reskit.comкоторые были определены на шаге A. Например, создайте запись A для reskit.com в reskit.com зоне.

   3. Следующий раздел реестра следует использовать, чтобы отключить контроллер домена от попытки регистрации записей A, которые можно увидеть в файле Netlogon.dns. Задайте значение REG_DWORD RegisterDnsARecords равным 0 (ноль) в разделе:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

5. Чтобы исправить это поведение: после создания леса и домена Active Directory следует интегрировать Active Directory с доменами DNS, за которые отвечает сервер Windows, на котором запущен DNS. Кроме того, следует перенастроить зоны, настроенные для приема динамических обновлений, чтобы принимать только безопасные динамические обновления.