Jak skonfigurować aktualizację dynamiczną DNS w systemie Windows 2000

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 317590 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL317590
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano, jak skonfigurować funkcję aktualizacji dynamicznej DNS w systemie Windows 2000. Funkcja aktualizacji dynamicznej DNS umożliwia komputerom klienckim DNS rejestrowanie i dynamiczne aktualizowanie rekordów zasobów na serwerze DNS po każdym wystąpieniu zmian. Dzięki tej funkcji można ograniczyć konieczność ręcznego administrowania rekordami stref, szczególnie w przypadku klientów często zmieniających lokalizację i używających protokołu DHCP (Dynamic Host Configuration Protocol) w celu uzyskania adresu IP.

System Windows 2000 zapewnia obsługę aktualizacji dynamicznej na klientach i serwerach zgodnie ze specyfikacją RFC 2136. W przypadku serwerów DNS usługa DNS umożliwia włączanie i wyłączanie funkcji aktualizacji dynamicznych DNS na podstawie stref na każdym serwerze skonfigurowanym do ładowania podstawowej lub pomocniczej strefy zintegrowanej z katalogiem.

Funkcje aktualizacji dynamicznej DNS w systemie Windows 2000

Usługa DNS umożliwia komputerom klienckim dynamiczną aktualizację swoich rekordów zasobów w systemie DNS. Użycie tej funkcji ułatwia administrację usługą DNS dzięki skróceniu czasu wymaganego na ręczne zarządzanie rekordami stref. Funkcja aktualizacji dynamicznej DNS w połączeniu z protokołem DHCP może służyć do aktualizowania rekordów zasobów po zmianie adresu IP komputera. Komputery z systemem Windows 2000 mogą wysyłać aktualizacje dynamiczne.

System Windows 2000 ma następujące funkcje związane z protokołem aktualizacji dynamicznej DNS:
  • Obsługa usługi katalogowej Active Directory jako usługi lokalizatora kontrolerów domen.
  • Integracja z usługą Active Directory.

    Istnieje możliwość integracji stref DNS z usługą Active Directory w celu podniesienia poziomu zabezpieczeń i zwiększenia odporności na błędy. Każda strefa zintegrowana z usługą Active Directory jest replikowana na wszystkich kontrolerach domen w domenie usługi Active Directory. Wszystkie serwery DNS uruchomione na tych kontrolerach domen mogą pełnić funkcje podstawowych serwerów strefy i akceptować aktualizacje dynamiczne. Usługa Active Directory wykonuje replikację na podstawie właściwości, propagując tylko istotne zmiany.
  • Obsługa przedawnienia i oczyszczania rekordów.

    Usługa DNS może wyszukiwać i usuwać zbędne rekordy. Włączenie tej funkcji zapobiega pozostawaniu przestarzałych rekordów w systemie DNS.
  • Obsługa zabezpieczonych aktualizacji dynamicznych w strefach zintegrowanych z usługą Active Directory.

    Strefy zintegrowane z usługą Active Directory można skonfigurować zgodnie z wymaganiami zabezpieczonej aktualizacji dynamicznej, tak aby tylko autoryzowani użytkownicy mogli zmieniać rekord lub strefę.
  • Łatwiejsze administrowanie.
  • Administracja z wiersza polecenia.
  • Ulepszone rozpoznawanie nazw.
  • Ulepszone buforowanie i buforowanie negatywne.
  • Współpraca z innymi implementacjami serwerów DNS.
  • Integracja z innymi usługami sieciowymi.
  • Przyrostowy transfer stref.
  • Obsługa nowych typów rekordów zasobów.

Jak komputery z systemem Windows 2000 aktualizują swoje nazwy DNS

Domyślnie komputery z systemem Windows 2000 o statycznej konfiguracji TCP/IP próbują dynamicznie zarejestrować rekordy zasobów adresu hosta (A) i wskaźnika (PTR) skonfigurowanych adresów IP używanych przez zainstalowane połączenia sieciowe. Domyślnie wszystkie komputery rejestrują rekordy na podstawie pełnej nazwy komputera.

Na komputerach z systemem Windows 2000 podstawowa pełna nazwa komputera będąca w pełni kwalifikowaną nazwą domeny (FQDN) składa się z podstawowego sufiksu DNS komputera i z nazwy komputera. W celu określenia podstawowego sufiksu DNS komputera i nazwy komputera należy kliknąć prawym przyciskiem myszy ikonę Mój komputer, kliknąć polecenie Właściwości, a następnie kliknąć kartę Identyfikacja sieciowa.

Aktualizacje dynamiczne mogą być wysyłane w przypadku wystąpienia dowolnego z następujących zdarzeń:
  • Dodano, usunięto lub zmodyfikowano adres IP w konfiguracji właściwości TCP/IP dowolnego zainstalowanego połączenia sieciowego.
  • Dzierżawa adresu IP zmienia lub odnawia dowolne zainstalowane połączenie sieciowe z serwerem DHCP. Na przykład po uruchomieniu komputera lub wydaniu polecenia ipconfig /renew.
  • Użyto polecenia ipconfig /registerdns, aby ręcznie wymusić odświeżenie rejestracji nazwy klienta w usłudze DNS.
  • Podczas rozruchu, po uruchomieniu komputera.
W przypadku wyzwolenia aktualizacji dynamicznej przez jedno z tych zdarzeń usługa klienta DHCP (ale nie usługa klienta DNS) wysyła aktualizacje. Ten proces jest zaprojektowany w taki sposób, że jeśli zmiana w informacjach o adresach IP zostanie spowodowana przez protokół DHCP, to są wykonywane odpowiednie aktualizacje w systemie DNS w celu zsynchronizowania mapowań typu nazwa-adres dla danego komputera. Usługa klienta DHCP pełni tę funkcję wobec wszystkich połączeń sieciowych używanych w systemie włącznie z połączeniami nieskonfigurowanymi do korzystania z protokołu DHCP.

UWAGI:
  • Proces aktualizacji dynamicznej na komputerach z systemem Windows 2000, które używają protokołu DHCP do uzyskiwania adresu IP, różni się od procesu opisanego w tej sekcji. Więcej informacji można znaleźć w sekcjach Integracja protokołu DHCP z usługą DNS oraz Klienci DHCP systemu Windows i protokół aktualizacji dynamicznych DNS w tym artykule.
  • Dla potrzeb opisu procesu aktualizacji w tej sekcji założono, że obowiązują domyślne ustawienia instalacji systemu Windows 2000. Istnieje możliwość zmiany konkretnych nazw i sposobu aktualizacji, jeśli zaawansowane właściwości TCP/IP skonfigurowano tak, aby były używane ustawienia DNS inne niż domyślne.
  • Poza pełną nazwą komputera (lub nazwą podstawową) można skonfigurować dodatkowe, charakterystyczne dla połączenia nazwy DNS i opcjonalnie zarejestrować je lub zaktualizować w usłudze DNS.

Przykład działania aktualizacji dynamicznej DNS

W systemie Windows 2000 żądanie aktualizacji dynamicznej występuje zwykle po zmianie nazwy DNS lub adresu IP komputera. Na przykład klient o nazwie „staryhost” został początkowo skonfigurowany w oknie dialogowym Właściwości systemu pod następującymi nazwami:
Nazwa komputera: staryhost
Nazwa domeny DNS komputera: przyklad.microsoft.com
Pełna nazwa komputera: staryhost.przyklad.microsoft.com
W tym przykładzie nie skonfigurowano na komputerze żadnych nazw domeny DNS charakterystycznych dla połączenia. Jeśli nazwa komputera zostanie zmieniona ze „staryhost” na „nowyhost”, nazwy zmienią się w następujący sposób:
Nazwa komputera: nowyhost
Nazwa domeny DNS komputera: przyklad.microsoft.com
Pełna nazwa komputera: nowyhost.przyklad.microsoft.com
Po zastosowaniu zmiany nazwy w oknie dialogowym Właściwości systemu pojawi się monit systemu Windows 2000 o ponowne uruchomienie komputera. Gdy system Windows zostanie ponownie uruchomiony, usługa klienta DHCP wykonuje następujące czynności w celu aktualizacji usługi DNS:
  1. Usługa klienta DHCP wysyła kwerendę typu adres startowy uwierzytelniania (SOA, Start of Authority) przy użyciu nazwy domeny DNS komputera.

    Komputer kliencki używa aktualnie skonfigurowanej nazwy FQDN komputera (na przykład „nowyhost.przyklad.microsoft.com”) jako nazwy podanej w kwerendzie.
  2. Na kwerendę typu SOA odpowiada autorytatywny serwer DNS strefy, która zawiera nazwę FQDN klienta.

    W przypadku standardowych stref podstawowych serwer podstawowy (właściciel) zwrócony w odpowiedzi na kwerendę SOA jest stały i statyczny. Zawsze odpowiada on dokładnej nazwie DNS wyświetlanej przez rekord zasobu SOA przechowywany w strefie. Jeśli jednak aktualizowana strefa jest zintegrowana z katalogiem, dowolny serwer DNS, który ładuje strefę, może odpowiedzieć i dynamicznie wstawić swoją nazwę jako nazwę serwera podstawowego (właściciela) strefy w odpowiedzi na kwerendę SOA.
  3. Usługa klienta DHCP próbuje skontaktować się z podstawowym serwerem DNS.

    Klient przetwarza odpowiedź na kwerendę SOA dla swojej nazwy, aby określić adres IP serwera DNS autoryzowanego jako serwer podstawowy do przyjęcia nazwy klienta. Klient wykonuje następującą procedurę (w razie potrzeby), aby skontaktować się ze swoim serwerem podstawowym i dokonać jego dynamicznej aktualizacji:
    1. Klient wysyła żądanie aktualizacji dynamicznej do serwera podstawowego określonego w odpowiedzi na kwerendę SOA.

      Jeżeli aktualizacja się powiedzie, nie są podejmowane żadne dalsze działania.
    2. Jeśli aktualizacja się nie powiedzie, klient wysyła kwerendę typu NS dotyczącą nazwy strefy określonej w rekordzie SOA.
    3. Po otrzymaniu odpowiedzi na tę kwerendę klient wysyła kwerendę SOA do pierwszego serwera DNS wymienionego w odpowiedzi.
    4. Gdy ta kwerenda SOA zostanie rozwiązana, klient wysyła aktualizację dynamiczną do serwera określonego w zwróconym rekordzie SOA.

      Jeżeli aktualizacja się powiedzie, nie są podejmowane żadne dalsze działania.
    5. Jeśli aktualizacja się nie powiedzie, klient powtarza przetwarzanie kwerendy SOA, wysyłając ją do kolejnego serwera DNS wymienionego w odpowiedzi.
  4. Po skontaktowaniu się z serwerem podstawowym, który może wykonać aktualizację, klient wysyła żądanie aktualizacji, a serwer je przetwarza.

    Żądanie aktualizacji zawiera instrukcje dodania rekordów zasobów A (ewentualnie także PTR) dla nazwy „nowyhost.przyklad.microsoft.com” i usunięcia rekordów tych samych typów dla nazwy „staryhost.przyklad.microsoft.com” (ta nazwa była zarejestrowana poprzednio).

    Serwer sprawdza też, czy aktualizacje, których żąda klient, są dozwolone. W przypadku standardowych stref podstawowych aktualizacje dynamiczne nie są zabezpieczone, dlatego próba aktualizacji podjęta przez dowolnego klienta kończy się pomyślnie. W strefach zintegrowanych z usługą Active Directory aktualizacje są zabezpieczone i wykonywane przy użyciu ustawień zabezpieczeń opartych na katalogach.
Aktualizacje dynamiczne są wysyłane i odświeżane okresowo. Domyślnie system Windows 2000 wykonuje odświeżanie co 24 godziny. Jeśli nastąpiła aktualizacja, a dane strefy nie uległy zmianie, jest pozostawiana bieżąca wersja strefy i żadne zmiany nie są zapisywane. Aktualizacje, w wyniku których zmienia się sama strefa lub występują zwiększone transfery strefy, są wykonywane tylko w przypadku rzeczywistej zmiany nazw lub adresów.

Uwaga Nazwy, które stały się nieaktywne lub nie zostały zaktualizowane w ciągu interwału odświeżania (24 godziny), nie są usuwane ze stref DNS. Usługa DNS nie korzysta z mechanizmu zwalniania ani chowania nazw, mimo że klienci DNS próbują usuwać lub aktualizować stare rekordy nazw po zastosowaniu nowej nazwy lub po zmianie adresu.

Gdy usługa klienta DHCP rejestruje rekordy zasobów A i PTR komputera z systemem Windows 2000, używa w stosunku do rekordów hosta domyślnej wartości czasu wygaśnięcia (TTL) buforowania, wynoszącej 15 minut. Wartość ta określa, jak długo inne serwery DNS i inni klienci DNS, uwzględnieni w odpowiedzi kwerendy, będą buforować rekordy komputera.

Integracja protokołu DHCP z usługą DNS

W systemie Windows 2000 serwer DHCP może włączyć aktualizacje dynamiczne w obszarze nazw DNS dla dowolnego klienta, który obsługuje takie aktualizacje. Klienci zakresu mogą używać protokołu aktualizacji dynamicznych DNS do aktualizacji informacji o mapowaniu typu nazwa-adres (które są przechowywane w strefach na serwerze DNS), ilekroć zmieni się adres przypisany przez protokół DHCP. Serwer DHCP z systemem Windows 2000 może wykonywać aktualizacje w imieniu swoich klientów DHCP na dowolnym serwerze DNS.

Jak protokół DHCP współdziała z aktualizacją DNS

Serwera DHCP można używać do rejestrowania i aktualizowania rekordów zasobów PTR i A w imieniu klientów, na których włączono obsługę DHCP. Aby to zrobić, należy skorzystać z dodatkowej opcji protokołu DHCP, opcji FQDN klienta (opcja 81). Opcja ta zezwala klientowi na podanie serwerowi DHCP nazwy FQDN oraz instrukcji dotyczących sposobu realizacji przez serwer DHCP aktualizacji dynamicznych DNS dostarczonych przez klienta.

Gdy ta opcja zostanie wydana przez uprawnionego klienta DHCP, na przykład komputer z systemem Windows 2000 z włączoną obsługą DHCP, jest przetwarzana i interpretowana przez serwery DHCP z systemem Windows 2000 w celu określenia sposobu zainicjowania aktualizacji w imieniu klienta.

Na przykład można użyć dowolnej z poniższych konfiguracji do przetwarzania żądań klientów:
  • Serwer DHCP rejestruje i aktualizuje informacje o kliencie na skonfigurowanych serwerach DNS zgodnie z żądaniem klienta.

    Po zainstalowaniu nowego serwera DHCP ta konfiguracja stanie się konfiguracją domyślną dla serwerów i klientów DHCP z systemem Windows 2000. W tym trybie każdy klient DHCP z systemem Windows 2000 może określić, w jaki sposób serwer DHCP ma wykonywać aktualizacje rekordów zasobów hosta A i PTR. Jeśli to możliwe, serwer DHCP spełnia żądanie klienta dotyczące obsługi aktualizowania informacji o nazwie i adresie IP w usłudze DNS.

    Aby skonfigurować serwer DHCP do rejestrowania informacji o kliencie zgodnie z żądaniem klienta, należy kliknąć kartę DNS, kliknąć przycisk Właściwości, a następnie kliknąć opcję Aktualizuj system DNS tylko na żądanie klienta DHCP.
  • Serwer DHCP zawsze rejestruje i aktualizuje informacje o klientach na skonfigurowanych serwerach DNS.

    Jest to konfiguracja zmodyfikowana, obsługiwana przez serwery i klientów DHCP z systemem Windows 2000. W tym trybie serwer DHCP zawsze aktualizuje informacje o nazwie FQDN klienta i dzierżawionym adresie IP oraz o rekordach zasobów hosta A i PTR, niezależnie od tego, czy klient żądał wykonania aktualizacji.

    Aby skonfigurować serwer DHCP do rejestrowania i aktualizowania informacji o klientach na skonfigurowanych serwerach DNS, należy otworzyć okno z właściwościami DHCP serwera, kliknąć kartę DNS, kliknąć przycisk Właściwości, a następnie kliknąć opcję Zawsze aktualizuj system DNS.
  • Serwer DHCP nigdy nie rejestruje ani nie aktualizuje informacji o klientach na skonfigurowanych serwerach DNS.

    Aby używać tej konfiguracji, należy na serwerze DHCP wyłączyć aktualizacje DHCP/DNS typu proxy. W tej konfiguracji rekordy zasobów hosta A oraz PTR klientów nie są aktualizowane w systemie DNS w imieniu klientów DHCP.

    Aby skonfigurować serwer tak, aby nigdy nie aktualizował informacji o klientach, należy otworzyć na serwerze DHCP z systemem Windows 2000 okno z właściwościami DHCP serwera lub jednego z jego zakresów, kliknąć kartę DNS, kliknąć przycisk Właściwości, a następnie wyczyścić pole wyboru Automatycznie aktualizuj informacje klienta DHCP w systemie DNS. Domyślnie aktualizacje są wykonywane zawsze po zainstalowaniu nowych serwerów DHCP z systemem Windows 2000 i utworzeniu dla nich nowych zakresów.

Klienci DHCP systemu Windows i protokół aktualizacji dynamicznych DNS

W przypadku klientów DHCP z systemem Windows 2000 i ze starszymi wersjami systemu Windows współdziałanie DHCP/DNS, opisane w poprzedniej sekcji, odbywa się różnorako. Poniższe przykłady pokazują, jak ten proces przebiega w różnych przypadkach.

Przykład współdziałania protokołu DHCP z aktualizacją DNS w przypadku klientów DHCP z systemem Windows 2000

Klienci DHCP z systemem Windows 2000 współdziałają z protokołem aktualizacji dynamicznej DNS w następujący sposób:
  1. Klient wysyła do serwera komunikat żądania protokołu DHCP.
  2. Serwer zwraca do klienta komunikat potwierdzający protokołu DHCP, który przydziela dzierżawę adresu IP.
  3. Domyślnie klient wysyła do serwera DNS żądanie aktualizacji DNS dla własnego rekordu wyszukiwania do przodu (rekordu zasobu hosta A).

    Ewentualnie serwer może wykonać tę aktualizację na serwerze DNS w imieniu klienta, jeśli obie konfiguracje, klienta i serwera, są odpowiednio zmodyfikowane.
  4. Serwer wysyła aktualizacje rekordu wyszukiwania wstecznego (rekord zasobu PTR) klienta DHCP, stosując proces, który jest zdefiniowany w protokole aktualizacji dynamicznej DNS.

Przykład współdziałania protokołu DHCP z aktualizacją DNS w przypadku klientów DHCP z wersją systemu Windows starszą niż system Windows 2000

Klienci DHCP ze starszymi wersjami systemu Windows nie obsługują bezpośrednio procesu aktualizacji dynamicznej DNS i nie mogą bezpośrednio współdziałać z serwerem DNS. W przypadku takich klientów DHCP aktualizacje są zwykle wykonywane następująco:
  1. Klient wysyła do serwera komunikat żądania protokołu DHCP (DHCPREQUEST).
  2. Serwer zwraca do klienta komunikat potwierdzający protokołu DHCP (DHCPACK), który przydziela dzierżawę adresu IP.
  3. Serwer wysyła aktualizacje rekordu wyszukiwania do przodu (rekordu zasobu hosta A) klienta do serwera DNS.
  4. Serwer wysyła również aktualizacje rekordu wyszukiwania wstecznego (rekordu zasobu PTR) klienta.

Zabezpieczone aktualizacje dynamiczne

W systemie Windows 2000 zabezpieczona aktualizacja DNS jest dostępna tylko w strefach zintegrowanych z usługą Active Directory. Po zintegrowaniu strefy z usługą katalogową można wykorzystywać funkcje edycji listy kontroli dostępu (ACL, Access Control List) dostępne w przystawce DNS do dodawania lub usuwania użytkowników i grup z listy kontroli dostępu określonej strefy lub rekordu zasobu.

Aby uzyskać więcej informacji, zajrzyj do Pomocy systemu Windows 2000 i wyszukaj temat „Modyfikacja zabezpieczeń rekordu zasobu” lub „Modyfikacja zabezpieczeń strefy zintegrowanej z usługą katalogową”.

Domyślnie zabezpieczanie aktualizacji dynamicznej na serwerach i klientach DNS z systemem Windows 2000 przebiega następująco:
  1. Najpierw klienci DNS z systemem Windows 2000 próbują użyć niezabezpieczonych aktualizacji dynamicznych. W przypadku odmowy aktualizacji niezabezpieczonej klienci próbują zastosować aktualizacje zabezpieczone.

    Klienci korzystają również z domyślnej zasady aktualizacji, która zezwala na podjęcie próby zastąpienia zarejestrowanego wcześniej rekordu zasobu, chyba że jest to blokowane przez zabezpieczenia aktualizacji.
  2. Gdy strefa zostanie zintegrowana z usługą Active Directory, serwery DNS z systemem Windows 2000 domyślnie zezwalają tylko na zabezpieczone aktualizacje dynamiczne.
Jeśli jest używany standardowy magazyn strefy, usługa serwera DNS domyślnie nie zezwala na aktualizacje dynamiczne swoich stref. W przypadku stref zintegrowanych z usługą katalogową lub korzystających ze standardowego magazynu opartego na pliku można zmienić strefę tak, aby były akceptowane wszystkie aktualizacje dynamiczne, dzięki czemu można ominąć konieczność stosowania aktualizacji zabezpieczonych.

Ważne W systemie Windows 2000 Server usługa serwera DHCP może wykonywać rejestrację typu proxy i aktualizować rekordy DNS starszych klientów, którzy nie obsługują aktualizacji dynamicznych.

Jeżeli w sieci jest używanych kilka serwerów DHCP z systemem Windows 2000, a strefy skonfigurowano tak, aby akceptowały tylko zabezpieczone aktualizacje dynamiczne, należy użyć przystawki Użytkownicy i komputery usługi Active Directory i dodać komputery pełniące funkcję serwerów DHCP do wbudowanej grupy DnsUpdateProxy. W takim wypadku wszystkie serwery DHCP będą miały uprawnienia zabezpieczeń do aktualizacji typu proxy dowolnego klienta DHCP. Aby uzyskać więcej informacji, wyszukaj temat „Używanie protokołu DHCP z serwerami DNS” lub „Zarządzanie grupami” w Pomocy systemu Windows 2000.

Przestroga W systemie Windows 2000 funkcje zabezpieczonych aktualizacji dynamicznych mogą być naruszone, jeżeli serwer DHCP zostanie uruchomiony na kontrolerze domeny, a serwer DHCP z systemem Windows 2000 jest skonfigurowany do rejestrowania rekordów DNS w imieniu klientów. Aby uniknąć tego problemu, należy wdrożyć serwery DHCP i kontrolery domeny na oddzielnych komputerach. Jeśli zabezpieczenie rekordów zasobów PTR wyszukiwania wstecznego nie jest istotne, ten środek ostrożności jest wskazany tylko wtedy, gdy serwer DHCP jest skonfigurowany do rejestrowania rekordów zasobów hosta A w imieniu klientów (nie jest to zachowanie domyślne).

Aby uzyskać więcej informacji, zobacz sekcję Uwagi dotyczące zabezpieczeń w przypadku używania grupy DnsUpdateProxy w tym artykule.

Jak zezwalać tylko na zabezpieczone aktualizacje dynamiczne

  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie DNS.
  2. W obszarze DNS rozwiń węzeł odpowiedniego serwera DNS, rozwiń węzeł Strefy wyszukiwania do przodu (lub Strefy wyszukiwania wstecznego), a następnie kliknij odpowiednią strefę.
  3. W menu Akcja kliknij polecenie Właściwości.
  4. Na karcie Ogólne sprawdź, czy jest ustawiony typ strefy Zintegrowana usługi Active Directory.
  5. W polu Czy zezwolić na aktualizacje dynamiczne? kliknij pozycję Tylko bezpieczne aktualizacje.
Przestroga W systemie Windows 2000 funkcje zabezpieczonych aktualizacji dynamicznych mogą być naruszone, jeżeli serwer DHCP zostanie uruchomiony na kontrolerze domeny, a serwer DHCP z systemem Windows 2000 jest skonfigurowany do rejestrowania rekordów DNS w imieniu klientów. Aby uniknąć tego problemu, należy wdrożyć serwery DHCP i kontrolery domeny na oddzielnych komputerach. Jeśli zabezpieczenie rekordów zasobów PTR wyszukiwania wstecznego nie jest istotne, ten środek ostrożności jest wskazany tylko wtedy, gdy serwer DHCP jest skonfigurowany do rejestrowania rekordów zasobów hosta A w imieniu klientów (nie jest to zachowanie domyślne).

Uwagi
  • Funkcja zabezpieczonych aktualizacji dynamicznych jest obsługiwana tylko w strefach zintegrowanych z usługą Active Directory. W przypadku skonfigurowania strefy innego typu konieczna będzie zmiana typu strefy i jej zintegrowanie z katalogiem, zanim będzie możliwe zabezpieczenie aktualizacji dynamicznych DNS.
  • Aktualizacje dynamiczne jest rozszerzeniem standardu DNS zgodnym ze specyfikacją RFC. Proces aktualizacji serwera DNS jest zdefiniowany w specyfikacji RFC 2136 „Dynamic Updates in the Domain Name System (DNS UPDATES)”.

Jak korzystać z grupy zabezpieczeń DnsUpdateProxy

Serwer DHCP z systemem Windows 2000 można skonfigurować tak, aby dynamicznie rejestrował rekordy zasobów hosta A i PTR w imieniu klientów DHCP. W przypadku użycia zabezpieczonych aktualizacji dynamicznych w konfiguracji z serwerami DNS systemu Windows 2000 rekordy zasobów mogą się zestarzeć.

Na przykład należy rozważyć następujący scenariusz:
  1. Serwer DHCP z systemem Windows 2000 (DHCP1) wykonuje w imieniu jednego z klientów zabezpieczoną aktualizację dynamiczną określonej nazwy domeny DNS.
  2. Ponieważ serwer DHCP pomyślnie utworzył nazwę, staje się on jej właścicielem.
  3. Tylko serwer DHCP, który jest właścicielem nazwy klienta, może dokonać jej aktualizacji.
W pewnych sytuacjach ten proces może powodować problemy. Na przykład, jeśli serwer DHCP1 ulegnie awarii, to drugi, zapasowy serwer DHCP, który przejmie jego funkcje, nie będzie mógł dokonać aktualizacji nazwy klienta, ponieważ nie będzie jej właścicielem.

W podobnym przykładzie serwer DHCP1 rejestruje w systemie DNS nazwę klienta „host.przyklad.microsoft.com” w imieniu swoich klientów, a następnie użytkownik uaktualnia dany komputer ze starszej wersji systemu Windows do systemu Windows 2000. Ponieważ serwer DHCP (DHCP1) jest właścicielem tej nazwy, klient nie może zaktualizować swoich rekordów DNS po uaktualnieniu komputera do systemu Windows 2000.

W celu rozwiązania tego problemu do systemu Windows dołączono nową wbudowaną grupę zabezpieczeń, DnsUpdateProxy. Żaden obiekt utworzony przez członków tej grupy nie ma zabezpieczeń. Pierwszy użytkownik niebędący członkiem grupy DnsUpdateProxy, który zmodyfikuje zestaw rekordów skojarzonych z klientem, stanie się właścicielem tego zestawu. Jeśli więc każdy serwer DHCP, który rejestruje rekordy zasobów dla starszych klientów, jest członkiem tej grupy, nie występują problemy z aktualizacjami związane z własnością.

Jak dodać członków do grupy DnsUpdateProxy

Grupę zabezpieczeń DnsUpdateProxy należy skonfigurować za pomocą przystawki Użytkownicy i komputery usługi Active Directory. Aby uzyskać więcej informacji, zajrzyj do Pomocy systemu Windows 2000 i wyszukaj temat „Aby dodać członka do grupy”.

Uwaga Jeśli jest używanych kilka serwerów DHCP w celu zapewnienia odporności na uszkodzenia i stosowane są zabezpieczone aktualizacje dynamiczne, to każdy z komputerów serwera DHCP z systemem Windows 2000 należy dodać do globalnej grupy zabezpieczeń DnsUpdateProxy.

Uwagi dotyczące zabezpieczeń w przypadku używania grupy DnsUpdateProxy

Niektóre z problemów związanych z utrzymaniem zabezpieczonych aktualizacji DNS można rozwiązać przez dodanie wszystkich serwerów DHCP do grupy DnsUpdateProxy. Jednak w takim przypadku pojawiają się dodatkowe problemy związane zabezpieczeniami.

Na przykład nie są zabezpieczone żadne nazwy domen DNS zarejestrowane przez komputer serwera DHCP. Rekord zasobu hosta A samego serwera DHCP nie jest zabezpieczony. Ten problem staje się jeszcze poważniejszy, jeśli serwer DHCP, który należy do grupy DnsUpdateProxy, jest zainstalowany na kontrolerze domeny. Aby zapobiec temu problemowi, należy ręcznie określić innego właściciela rekordów DNS, które są skojarzone z samym serwerem DHCP.

W takim przypadku żadne rekordy zasobów lokalizacji usługi (SRV), hosta A ani aliasu (CNAME), które są rejestrowane przez usługę Netlogon dla kontrolera domeny, nie są zabezpieczone. Aby zapobiec temu problemowi, nie należy instalować serwera DHCP kontrolerze domeny.

Jeśli serwer DHCP systemu Windows 2000 jest uruchamiany na kontrolerze domeny systemu Windows 2000, to ma pełną kontrolę nad wszystkimi obiektami DNS przechowywanymi w usłudze Active Directory, ponieważ działa w kontekście konta komputera (w tym przypadku kontrolera domeny).

Konfigurowanie aktualizacji dynamicznej DNS

Funkcja aktualizacji dynamicznej w systemie Windows 2000 jest zgodna ze specyfikacją RFC 2136. Aktualizacja dynamiczna pozwala klientom i serwerom rejestrować nazwy domen DNS (rekordy zasobów PTR) i mapowania adresów IP (rekordy zasobów A) na serwerze DNS zgodnym ze specyfikacją RFC 2136.

Komputer z systemem Windows 2000 Professional nie musi korzystać z aktualizacji dynamicznej, aby mógł być członkiem domeny systemu Windows 2000; zwiększają się jednak obciążenia administracyjne, ponieważ w tym scenariuszu informacje DNS trzeba aktualizować ręcznie. W systemie Windows 2000 klienci i serwery mogą wysyłać aktualizacje dynamiczne dla trzech różnych typów kart sieciowych: kart DHCP, kart skonfigurowanych statycznie i kart dostępu zdalnego. Niezależnie od używanej karty usługa klienta DHCP wysyła aktualizacje dynamiczne do autorytatywnego serwera DNS. Usługa klienta DHCP jest uruchamiana na wszystkich komputerach niezależnie od tego, czy są one skonfigurowane jako klienci DHCP.

Jak konfigurować aktualizację dynamiczną DNS dla klientów DHCP

Domyślnie klienci DHCP z systemem Windows 2000 są skonfigurowani do żądania, aby klient rejestrował rekord zasobu A, a serwer rekord zasobu PTR. Domyślnie nazwa używana do rejestracji w systemie DNS powstaje z połączenia nazwy komputera i podstawowego sufiksu DNS. Zmiana domyślnej nazwy wymaga otwarcia okna właściwości TCP/IP połączenia sieciowego.

Aby zmienić domyślne ustawienia aktualizacji dynamicznej klienta aktualizacji dynamicznej:
  1. Kliknij prawym przyciskiem myszy ikonę Moje miejsca sieciowe, a następnie kliknij polecenie Właściwości.
  2. Kliknij prawym przyciskiem myszy połączenie, które chcesz skonfigurować, a następnie kliknij polecenie Właściwości.
  3. Kliknij pozycję Protokół internetowy (TCP/IP), kliknij przycisk Właściwości, kliknij przycisk Zaawansowane, a następnie kliknij kartę DNS.

    Domyślnie zaznaczone jest pole wyboru Zarejestruj adresy tego połączenia w DNS, a pole wyboru Użyj sufiksu DNS tego połączenia do rejestracji w DNS nie jest zaznaczone. Ta domyślna konfiguracja sprawia, że klient żąda, aby klient rejestrował rekord zasobu A, a serwer rekord zasobu PTR. W tym przypadku nazwa, która ma być użyta do rejestracji w systemie DNS, powstaje z połączenia nazwy komputera i podstawowego sufiksu DNS komputera.
  4. Zaznacz pole wyboru Użyj sufiksu DNS tego połączenia do rejestracji w DNS.

    W przypadku zaznaczenia tego pola wyboru klient żąda, aby serwer zaktualizował rekord PTR przy użyciu nazwy będącej połączeniem nazwy komputera i sufiksu DNS związanego z połączeniem. Jeśli serwer DHCP skonfigurowano tak, aby rejestrował rekordy DNS zgodnie z żądaniem klienta, klient zarejestruje następujące rekordy:
    • Rekord PTR, w przypadku którego jest używana nazwa będąca połączeniem nazwy komputera i podstawowego sufiksu DNS.
    • Rekord A, w przypadku którego jest używana nazwa będąca połączeniem nazwy komputera i podstawowego sufiksu DNS.
    • Rekord A, w przypadku którego jest używana nazwa będąca połączeniem nazwy komputera i sufiksu DNS związanego z połączeniem.
  5. W celu skonfigurowania klienta w taki sposób, żeby nie zgłaszał żądań rejestracji DNS, wyczyść pole wyboru Zarejestruj adresy tego połączenia w DNS. W przypadku wyczyszczenia tego pola wyboru klient nie próbuje rejestrować żadnych rekordów DNS A ani PTR odpowiadających danemu połączeniu.

Aktualizacja dynamiczna DNS na klientach skonfigurowanych statycznie i klientach dostępu zdalnego

Klienci skonfigurowani statycznie i klienci dostępu zdalnego nie komunikują się z serwerem DHCP. Skonfigurowani statycznie klienci z systemem Windows 2000 dynamicznie aktualizują swoje rekordy zasobów A i PTR przy każdym uruchamianiu, o ile te rekordy uległy uszkodzeniu w bazie danych DNS. Klienci dostępu zdalnego dynamicznie aktualizują rekordy zasobów A i PTR w momencie ustanawiania połączenia telefonicznego. Próbują oni również wyrejestrować rekordy zasobów A i PTR, gdy użytkownik zamyka połączenie. Jeśli jednak klient dostępu zdalnego nie zdoła wyrejestrować rekordu zasobu w ciągu czterech sekund, połączenie zostaje zamknięte i baza danych DNS zawiera rekord przestarzały. Jeśli klient dostępu zdalnego nie zdoła wyrejestrować rekordu zasobu, dodaje odpowiedni komunikat do dziennika zdarzeń, który można wyświetlić za pomocą Podglądu zdarzeń. Klient dostępu zdalnego nigdy nie usuwa przestarzałych rekordów.

Jak konfigurować aktualizację dynamiczną DNS na wieloadresowych komputerach klienckich

Jeśli klient aktualizacji dynamicznej jest wieloadresowy (ma więcej niż jedną kartę ze skojarzonym z nią adresem IP), to domyślnie rejestruje w systemie DNS wszystkie swoje adresy IP. Aby zapobiec rejestrowaniu przez klienta wszystkich jego adresów IP, można skonfigurować właściwości połączenia sieciowego tak, aby był rejestrowany tylko jeden adres lub kilka adresów IP.

Aby zapobiec rejestrowaniu przez komputer wszystkich jego adresów IP:
  1. Kliknij prawym przyciskiem myszy ikonę Moje miejsca sieciowe, a następnie kliknij polecenie Właściwości.
  2. Kliknij połączenie, które chcesz skonfigurować, a następnie kliknij przycisk Właściwości.
  3. Kliknij pozycję Protokół internetowy (TCP/IP), kliknij przycisk Właściwości, kliknij przycisk Zaawansowane, a następnie kliknij kartę DNS.
  4. Wyczyść pole wyboru Zarejestruj adresy tego połączenia w DNS.
Można też skonfigurować komputer tak, aby rejestrował swoją nazwę domeny w DNS. Na przykład, jeśli klient jest podłączony do dwóch różnych sieci, można go skonfigurować tak, aby miał inną nazwę domeny w każdej sieci.

Jak skonfigurować aktualizację dynamiczną DNS na komputerze klienckim DNS z systemem Windows 2000

Aby skonfigurować aktualizację dynamiczną DNS na komputerze klienckim DNS z systemem Windows 2000:
  1. Kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Połączenia sieciowe i telefoniczne.
  2. Kliknij prawym przyciskiem myszy połączenie sieciowe, które chcesz skonfigurować, a następnie kliknij polecenie Właściwości.
  3. Kliknij kartę Ogólne (w przypadku połączenia lokalnego) lub kartę Sieć (w przypadku każdego innego połączenia), kliknij pozycję Protokół internetowy (TCP/IP), a następnie kliknij przycisk Właściwości.
  4. Kliknij przycisk Zaawansowane, a następnie kliknij kartę DNS.
  5. Aby używać aktualizacji dynamicznej DNS do rejestrowania zarówno adresów IP tego połączenia, jak i pełnej nazwy komputera, zaznacz pole wyboru Zarejestruj adresy tego połączenia w DNS. To pole wyboru jest domyślnie zaznaczone.
  6. Aby skonfigurować sufiks DNS związany z połączeniem, wpisz sufiks DNS w polu Sufiks DNS dla tego połączenia.
  7. Aby używać aktualizacji dynamicznej DNS do rejestrowania adresów IP tego połączenia i nazwy domeny związanej z tym połączeniem, zaznacz pole wyboru Użyj sufiksu DNS tego połączenia do rejestracji w DNS. To pole wyboru jest domyślnie zaznaczone.

Jak skonfigurować aktualizację dynamiczną DNS na serwerze DNS z systemem Windows 2000

Aby skonfigurować aktualizację dynamiczną DNS na serwerze DNS z systemem Windows 2000:
  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie DNS.
  2. Kliknij odpowiednią strefę z obszarze Strefy wyszukiwania do przodu lub Strefy wyszukiwania wstecznego.
  3. W menu Akcja kliknij polecenie Właściwości.
  4. Na karcie Ogólne sprawdź, czy jest ustawiony typ strefy Podstawowa lub Zintegrowana usługi Active Directory.
  5. W przypadku typu strefy Podstawowa kliknij pozycję Tak na liście Czy zezwolić na aktualizacje dynamiczne?.
  6. W przypadku typu strefy Zintegrowana usługi Active Directory kliknij pozycję Tak lub Tylko bezpieczne aktualizacje na liście Czy zezwolić na aktualizacje dynamiczne?, zależnie od tego, czy aktualizacje dynamiczne DNS mają być zabezpieczone, czy nie.

Jak skonfigurować aktualizację dynamiczną DNS na serwerze DHCP z systemem Windows 2000

Aby skonfigurować aktualizację dynamiczną DNS na serwerze DHCP z systemem Windows 2000:
  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie DHCP.
  2. Kliknij odpowiedni serwer DHCP lub zakres na odpowiednim serwerze DHCP.
  3. W menu Akcja kliknij polecenie Właściwości.
  4. Kliknij kartę System DNS.
  5. Aby włączyć aktualizację dynamiczną DNS dla klientów DHCP, którzy ją obsługują, zaznacz pole wyboru Automatycznie aktualizuj informacje klienta DHCP w systemie DNS. To pole wyboru jest domyślnie zaznaczone.
  6. Aby włączyć aktualizację dynamiczną DNS dla klientów DHCP, którzy jej nie obsługują, zaznacz pole wyboru Włącz aktualizacje dla klientów systemu DNS, którzy nie obsługują aktualizacji dynamicznej. To pole wyboru jest domyślnie zaznaczone.

Jak włączyć aktualizacje dynamiczne DNS na serwerze DNS

Obecnie serwery DHCP i DNS z systemem Windows 2000 obsługują aktualizacje dynamiczne na serwerze DNS. Klienci z systemem Windows 2000 mogą dynamicznie aktualizować swoje rekordy wyszukiwania do przodu na serwerze DNS po uzyskaniu nowego adresu IP z serwera DHCP.

Serwer DHCP z systemem Windows 2000 umożliwia aktualizację dynamiczną rekordów DNS klientów z wersją systemu Windows starszą niż Windows 2000, którzy nie mogą robić tego samodzielnie. Ta funkcja obecnie działa tylko na serwerach DHCP i DNS z systemem Windows 2000.

Aby włączyć wykonywanie przez serwer DHCP aktualizacji dynamicznych rekordów DNS klientów:
  1. Wybierz zakres lub serwer DHCP, dla którego chcesz wykonywać aktualizacje dynamiczne DNS.
  2. W menu Akcja kliknij polecenie Właściwości, a następnie kliknij kartę DNS.
  3. Zaznacz pole wyboru Automatycznie aktualizuj informacje klienta DHCP w systemie DNS.
  4. Aby aktualizować rekordy DNS klienta na podstawie typu żądania DHCP klienta i tylko po wystąpieniu takiego żądania, kliknij opcję Aktualizuj system DNS tylko na żądanie klienta DHCP.
  5. Aby zawsze aktualizować rekordy klienta wyszukiwania do przodu i wyszukiwania wstecznego, kliknij opcję Zawsze aktualizuj system DNS.
  6. Zaznacz pole wyboru Odrzuć wyszukiwania do przodu (nazwa-adres) po wygaśnięciu, aby serwer DHCP usuwał rekord zasobu hosta klienta po wygaśnięciu i nieodnowieniu dzierżawy DHCP klienta.
  7. Zaznacz pole wyboru Włącz aktualizacje dla klientów systemu DNS, którzy nie obsługują aktualizacji dynamicznej, aby włączyć aktualizowanie przez serwer DHCP rekordów wyszukiwania do przodu i wyszukiwania wstecznego dla klientów, którzy nie mogą aktualizować własnych rekordów wyszukiwania do przodu. Jeśli to pole wyboru nie zostanie zaznaczone, serwer DHCP nie będzie automatycznie aktualizował rekordów DNS klientów z systemem innym niż Windows 2000.

Dodatkowe zaawansowane opcje konfiguracji serwera DHCP/DNS

Serwer DHCP z systemem Windows 2000 można skonfigurować nie tylko do standardowego współdziałania DHCP/DNS, lecz i do wykonywania następujących opcjonalnych zadań aktualizacji:
  • Można skonfigurować serwer do niewysyłania aktualizacji dla odrzuconego rekordu zasobu hosta (A) klienta po wygaśnięciu dzierżawy klienta.

    W przypadku włączenia wykonywania przez serwer DHCP aktualizacji DNS serwer zawsze wysyła aktualizacje w celu odrzucenia rekordów zasobów PTR klienta po wygaśnięciu dzierżawy. Można skonfigurować serwer do odrzucania rekordów zasobów hosta A klienta po wygaśnięciu dzierżawy klienta (serwer domyślnie odrzuca te rekordy).

    Aby zmodyfikować to ustawienie na stosownym serwerze DHCP, należy otworzyć właściwości serwera DHCP, kliknąć kartę DNS, kliknąć przycisk Właściwości, a następnie wyczyścić pole wyboru Odrzuć wyszukiwania do przodu (nazwa-adres) po wygaśnięciu.
  • Można skonfigurować serwer do niewysyłania aktualizacji dla klientów, który nie używają opcji FQDN klienta (opcji 81) w celu określenia sposobu dokonywania aktualizacji.

    Domyślnie serwer DHCP wysyła aktualizacje dla klientów, którzy nie obsługują opcji 81. Pozwala to serwerowi na wykonywanie aktualizacji proxy w systemie DNS dla wszystkich klientów DHCP ze starszymi wersjami systemów operacyjnych Windows.

    Aby zmodyfikować to ustawienie na stosownym serwerze DHCP, należy otworzyć właściwości serwera DHCP, kliknąć kartę DNS, kliknąć przycisk Właściwości, a następnie wyczyścić lub zaznaczyć pole wyboru Włącz aktualizacje dla klientów systemu DNS, którzy nie obsługują aktualizacji dynamicznej.

Jak wyłączyć aktualizację dynamiczną DNS

Ostrzeżenie Nieprawidłowe użycie Edytora rejestru może stać się przyczyną poważnych problemów, skutkujących koniecznością ponownej instalacji? systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Można używać Edytora rejestru na własną odpowiedzialność.
Aktualizacje dynamiczne są domyślnie skonfigurowane na klientach z systemem Windows 2000 Professional. Aby wyłączyć aktualizację dynamiczną dla wszystkich interfejsów sieciowych:
  1. Uruchom Edytor rejestru (Regedt32.exe).
  2. Zlokalizuj i kliknij następujący klucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters
  3. Dodaj następującą wartość:
    Nazwa wartości: DisableDynamicUpdate
    Typ danych: REG_DWORD
    Wartość danych: 0x1
Aby wyłączyć aktualizację dynamiczną dla określonego interfejsu:
  1. Uruchom Edytor rejestru (Regedt32.exe).
  2. Zlokalizuj i kliknij następujący klucz rejestru, gdzie interfejs to identyfikator urządzenia karty sieciowej interfejsu, dla którego chcesz wyłączyć aktualizację dynamiczną:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\Interfaces\interfejs
  3. Dodaj następującą wartość:
    Nazwa wartości: DisableDynamicUpdate
    Typ danych: REG_DWORD
    Wartość danych: 0x1

Rozwiązywanie problemów

Aby uzyskać dodatkowe informacje dotyczące rozwiązywania problemów z aktualizacją dynamiczną DNS w systemie Windows 2000, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
287156 Troubleshooting Windows 2000 DNS dynamic update problems

MATERIAŁY REFERENCYJNE

Aby uzyskać dodatkowe informacje dotyczące aktualizacji dynamicznych DNS, zobacz następujące zasoby:

Windows 2000 DNS — Oficjalny dokument

Rozdział „Introduction to DNS” (Wprowadzenie do usługi DNS) w zestawie Windows 2000 Server Resource Kit

Rozdział „Windows 2000 DNS” w zestawie Windows 2000 Server Resource Kit

Protokół Dynamic Host Configuration Protocol (DHCP) w systemie Windows 2000 Server
Aby uzyskać dodatkowe informacje dotyczące aktualizacji dynamicznych DNS w systemie Microsoft Windows 2003, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
816592 Jak skonfigurować aktualizacje dynamiczne usługi DNS w systemie Windows Server 2003

Właściwości

Numer ID artykułu: 317590 - Ostatnia weryfikacja: 23 kwietnia 2007 - Weryfikacja: 8.3
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbhowtomaster KB317590

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com