Windows DNS'yi mevcut bir DNS ad alanıyla tümleştirme

  • Makale

Bu makalede, Active Directory etki alanı adıyla bölge için yetkili olan DNS sunucusunun RFC 2136'yi (dinamik güncelleştirmeler) desteklemediği bir DNS ad alanı zaten uygulanmış bir kuruluşla Windows DNS'nin nasıl tümleştirildiği açıklanır.

Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 255913

Özet

Windows Etki Alanı Adı Sistemi'nin (DNS) bir özelliği, dinamik ana bilgisayar güncelleştirmeleri için desteğidir (RFC 2136'da belgelenmiştir). Bu özelliğin avantajlarından yararlanmak için Windows DNS, başka DNS sunucusu olmayan ortamlarda ve zaten dinamik olmayan DNS sunucuları uygulanmış olan ortamlarda (BIND 4.9.7 ve öncesi gibi) dağıtılabilir. Windows DNS'yi zaten BIND sunucularının uygulandığı bir ortama dağıtırken çeşitli tümleştirme seçenekleriniz vardır:

  • Bölgeleri dinamik olmayan yetkili DNS sunucularından Windows DNS çalıştıran sunuculara geçirin.
  • Üst DNS etki alanı altında alt DNS etki alanlarına temsilci atama. Bir bölgenin köküyle aynı ada sahip olmayan Active Directory etki alanı adları için alt etki alanını Windows DNS'ye devredin. Örneğin, Active Directory etki alanının dev.reskit.com adı ve bu adı içeren bölge ise reskit.com, DNS çalıştıran Windows tabanlı bir sunucuya temsilci verin dev.reskit.com .
  • Etki alanı denetleyicisi (DC) bulucu kayıtları (SRV kayıtları) tarafından kullanılan alt etki alanlarının her birini Windows tabanlı bir sunucuya devredin. Bu alt etki alanları , _sites.reskit.com, _tcp.reskit.comve _udp.reskit.com'tir_msdcs.reskit.com. Bu seçenek, bir bölgenin kökünün adıyla (örneğin, reskit.com) aynı olan Active Directory etki alanı adlarının (örneğin, reskit.com) DNS çalıştıran Windows tabanlı bir sunucuya doğrudan temsilci seçilememesinde kullanılır. İsteğe bağlı olarak, istemciler adlı reskit.comActive Directory etki alanının üyesi olabilir, ancak adlı dynamic.reskit.comDNS bölgesine kaydolabilir.

Bu makalede, yukarıda listelenen dördüncü seçenek, Active Directory etki alanı adıyla bölge için yetkili olan DNS sunucusunun RFC 2136'yı (dinamik güncelleştirmeler) desteklemediği bir DNS ad alanı uygulanmış olan bir kuruluşla Windows DNS'nin nasıl tümleştirildiği belgelenmiştir. Bu makalede ayrıca etki alanı üyelerinin Active Directory etki alanının adından farklı bir birincil DNS soneki kullandığı ve Active Directory etki alanının adıyla bölge için yetkili DNS sunucusu dinamik DNS güncelleştirmelerini desteklemediğinde Windows tabanlı bilgisayarlar tarafından DNS kayıtlarının dinamik kaydına izin veren bir senaryo da açıklanır.

Daha fazla bilgi

Windows DNS'yi dinamik olmayan DNS sunucularını temel alan mevcut bir ad alanıyla tümleştirmek için, dinamik güncelleştirmelerin (RFC 2136'ya göre) kullanılabilmesi için bulucu kayıtları (SRV kayıtları) tarafından kullanılan alt etki alanları için temsilci atayabilirsiniz. Şu adımları izleyin:

  1. Active Directory etki alanı adıyla bölge için yetkili olan dinamik olmayan DNS sunucusunda, aşağıdaki bölgeleri DNS çalıştıran Windows 2000 tabanlı bir sunucuya devredin:

    _Udp. DNSDomainName
    _Tcp. DNSDomainName
    _Site. DNSDomainName
    _msdcs. DNSDomainName

    Örneğin, kök bölge olarak adlandırılıyorsareskit.com, _sites.reskit.com_udp.reskit.com_tcp.reskit.comve _msdcs.reskit.com temsilcilerini Windows tabanlı sunucuya devredin.

    Ayrıca iki alt etki alanı daha atamanız gerekir:

    Forestdnszones. ForestDNSName
    Domaindnszones. DNSDomainName

  2. Windows tabanlı sunucuda, 1. adımda temsilci olarak atanan iletme bölgelerini oluşturun ve dinamik güncelleştirme için bölgeleri etkinleştirin.

    Yeni bölgeleri oluşturmak için:

    1. Windows sunucusunda DNS Yöneticisi'ni başlatın.

    2. DNS Yöneticisi'nde uygun DNS sunucusunu genişletin.

    3. İleriYe Doğru Arama Bölgeleri klasörüne sağ tıklayın ve ardından Yeni Bölge'ye tıklayın.

    4. Yeni Bölge Sihirbazı başlatıldığında İleri'ye tıklayın, "Birincil Bölge" seçeneğini belirleyin ve bölgeyi Active Directory'de depola onay kutusunu seçip İleri'ye tıklayın.

    5. AD ile tümleşik bölgeler için, bölge verilerinin nereye gideceğini, etki alanındaki veya ormandaki tüm DNS sunucularına veya etki alanındaki tüm DCS'lere (yalnızca Windows 2000'deki seçenek) seçin.

    6. Ad kutusuna bölgenin adını yazın. Örneğin, _msdcs.reskit.com yazın.

    7. İleri'yi tıklatın. Sihirbazın özetini gözden geçirdikten sonra Son'a tıklayın.

    Bölgenin dinamik güncelleştirmeleri kabul edebilmesi için:

    1. DNS çalıştıran Windows sunucusunda DNS Yöneticisi'ni kullanarak yeni bölgeye sağ tıklayın, Özellikler'e ve ardından Genel sekmesine tıklayın.
    2. Dinamik Güncelleştirmeler İzin Ver kutusunda Yalnızca Güvenli Güncelleştirmeler (önerilir) veya Evet'e tıklayın. Yalnızca Güvenli Güncelleştirmeler seçeneği yalnızca sunucu bir etki alanı denetleyicisine yükseltildikten sonra kullanılabilir. 1. adımda açıklanan dört bölgenin tümü oluşturulana ve dinamik güncelleştirmelere izin verilene kadar bu işlemi yineleyin. Bu, etki alanı denetleyicisi bulucu kayıtlarının DNS'de dinamik olarak kaydedilmesini ve kaydının kaldırılmasını sağlar.

  3. Ayrıca, istemcilerin ve sunucuların kendilerini Windows sunucusuna dinamik olarak kaydetmelerine izin vermek için tek bir bölge veya birkaç bölge oluşturulabilir ve yapılandırılabilir. Örneğin, adlı dynamic.reskit.com bir bölge, dinamik güncelleştirmeler aracılığıyla bir ağdaki tüm istemcileri ve sunucuları kaydetmek için kullanılabilir. Böyle bir bölgeyi yapılandırmak için:

    1. Üst bölge için yetkili olan dinamik olmayan DNS sunucusunda (örneğin, reskit.com), DNS çalıştıran Windows tabanlı sunucuya yeni bir bölge temsilcisi belirleyin. Örneğin, öğesini temsilci olarak belirleyin dynamic.reskit.com. bölgesinden Windows sunucusuna geçin.
    2. Windows sunucusunda, yukarıdadynamic.reskit.com () temsilci olarak atanan bölge için ileriye doğru arama bölgesi oluşturun.
    3. Windows sunucusunda, dinamik güncelleştirmeler için bölgeleri etkinleştirin.

  4. Windows etki alanı denetleyicileri başlatıldığında, Netlogon hizmeti birkaç SRV kaydını yetkili bölgeye kaydetmeyi dener. SRV kayıtlarının kaydedileceği bölgeler dinamik olarak güncelleştirilebilecekleri bir Windows sunucusuna (1. ve 2. adımlarda) devredildiğinden, bu kayıtlar başarılı olur. Ayrıca DC, Netlogon.dns dosyasında listelenen A kayıtlarını kök bölgede (örneğin reskit.com) kaydetmeyi dener. Bu durumda, kök bölge dinamik olmayan bir DNS sunucusunda bulunduğundan bu güncelleştirmeler başarılı olmaz. DC'deki sistem günlüğünde aşağıdaki olay oluşturulur:

    Olay Türü: Uyarı
    Olay Kaynağı: NETLOGON
    Olay Kategorisi: Yok
    Olay Kimliği: 5773
    Tarih: <DateTime>
    Saat: <DateTime>
    Kullanıcı: Yok
    Bilgisayar: DC
    Açıklama:
    Bu DC için DNS sunucusu dinamik DNS'yi desteklemiyor. %SystemRoot%\System32\Config\netlogon.dns dosyasındaki DNS kayıtlarını, bu dosyada başvuruda bulunılan etki alanını sunan DNS sunucusuna ekleyin.

    Bu davranışı düzeltmek için:

    1. Her Windows DC'nin %SystemRoot%\System32\Config klasöründe bulunan bir Netlogon.dns dosyası vardır. Bu dosya, DC'nin Netlogon hizmeti başlatıldığında kaydetmeye çalışacağı DNS kayıtlarının listesini içerir. DC'nin DNS sunucusuna kaydetmeye çalıştığı özgün kayıtların bir listesine sahip olabilmeniz için aşağıdaki değişiklikleri yapmadan önce bu dosyanın bir kopyasını almak iyi bir fikirdir. Bu kayıtlar her DC üzerindeki her ağ bağdaştırıcısına özgü olduğundan her DC'nin farklı kayıtları olacağını unutmayın. Dosyadaki tüm A kayıtlarını tanımlamak için Netlogon.dns dosyasını inceleyin. "IN" sınıf tanımlayıcısını izleyen kayıt türüne göre A kayıtlarını tanımlayabilirsiniz. Örneğin, aşağıdaki iki giriş A kayıtlarıdır:

      reskit.com. 10.10.10.10'da 600
      gc._msdcs.reskit.com. 10.10.10.10'da 600

      Netlogon.dns dosyasındaki A kayıtlarının sayısı, DC'nin sahip olduğu bağdaştırıcı sayısına, her bağdaştırıcının yapılandırıldığı IP adreslerinin sayısına ve DC'nin rolüne bağlıdır. DC'ler kaydedildi:

      • Etki alanının adı için IP adreslerinin her biri için bir A kaydı.
      • DC aynı zamanda genel katalog (GC) sunucusuysa gc._msdcs kaydeder. IP adreslerinin her biri için DnsForestName.

    2. Dinamik olmayan DNS sunucusu, etki alanı denetleyicisinin A kayıtlarını dinamik olarak kaydetme girişimlerini kabul etmediğinden, A kayıtlarının yetkili DNS sunucusunda el ile yapılandırılması gerekir (bu makaledeki örnekte, bölge reskit.comiçin yetkili DNS sunucusu ). Etki alanının adına karşılık gelen A kaydının eklenmesi (örneğin, reskit.com) Windows dağıtımı için gerekli değildir ve yalnızca SRV DNS kayıtlarını desteklemeyen üçüncü taraf LDAP istemcileri Windows DC'lerini arıyorsa gerekebilir.

      Windows sunucusunda, uygun bölgede A adımında tanımlanan GC sunucusuna özgü A kayıtlarını oluşturun. Örneğin, _msdcs.reskit.com bölgesinde GC sunucusu için bir A kaydı oluşturun.

      Bölgenin kökü için yetkili olan dinamik olmayan DNS sunucusunda, A adımında tanımlanan GC sunucusuna özgü olmayan A kayıtları için kök bölgede (örneğin, reskit.com) A kayıtları oluşturun. Örneğin, bölgesinde için reskit.comreskit.com bir A kaydı oluşturun.

    3. Dc'nin Netlogon.dns dosyasında görülen A kayıtlarını kaydetmeye çalışmasını devre dışı bırakmak için aşağıdaki kayıt defteri anahtarı kullanılmalıdır. RegisterDnsARecords REG_DWORD değerini aşağıdakiler altında 0 (sıfır) olarak ayarlayın:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. Bu davranışı düzeltmek için: Bir Active Directory ormanı ve etki alanınız olduğunda, Active Directory'yi DNS çalıştıran Windows sunucusunun sorumlu olduğu DNS etki alanlarıyla tümleştirmeniz gerekir. Ayrıca, yalnızca güvenli dinamik güncelleştirmeleri kabul etmek için dinamik güncelleştirmeleri kabul etmek üzere yapılandırılmış bölgeleri yeniden yapılandırmanız gerekir.