Konfigurieren von dynamischen DNS-Updates in Windows Server 2003

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 816592 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
816592 How to configure DNS dynamic updates in Windows Server 2003
In Artikel 317590 wird dieses Thema für Microsoft Windows 2000 behandelt.
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die Konfiguration der Updatefunktion unter Windows Server 2003. Mithilfe der DNS-Updatefunktion können DNS-Clientcomputer ihre Ressourceneinträge bei einem DNS-Server registrieren und dynamisch aktualisieren, falls Änderungen auftreten. Wenn Sie diese Funktion nutzen, können Sie den Aufwand für die manuelle Verwaltung von Zoneneinträgen senken, insbesondere bei Clients, die häufig den Standort wechseln und ihre IP-Adresse über DHCP (Dynamic Host Configuration Protocol) beziehen.

Windows Server 2003 unterstützt die dynamische Updatefunktion gemäß RFC 2136 (RFC = Request for Comments). Sie können mithilfe des DNS-Dienstes die DNS-Updatefunktion für jede Zone einzeln auf jedem DNS-Server aktivieren oder deaktivieren, der zum Laden einer primären Standardzone oder einer verzeichnisintegrierten Zone konfiguriert wurde.

DNS-Update-Features in Windows Server 2003

Der DNS-Dienst ermöglicht es Clientcomputern, ihre DNS-Ressourceneinträge dynamisch zu aktualisieren. Wenn Sie diese Funktionalität nutzen, verbessern Sie die DNS-Verwaltung und verringern die Zeit für die manuelle Verwaltung von Zoneneinträgen. Sie können die DNS-Updatefunktion in Verbindung mit DHCP verwenden, um Ressourceneinträge zu aktualisieren, wenn sich die IP-Adresse eines Computers geändert hat. Computer mit Windows Server 2003 können dynamische Updates senden.

Windows Server 2003 stellt die folgenden Funktionen für das Protokoll für dynamische DNS-Updates bereit:
  • Verwendung des Active Directory-Verzeichnisdienstes als Locatordienst für Domänencontroller
  • Integration mit Active Directory

    DNS-Zonen können in Active Directory integriert werden, wodurch höhere Fehlertoleranz und Sicherheit gewährleistet werden. Jede Active Directory-integrierte Zone wird auf allen Domänencontrollern in der Active Directory-Domäne repliziert. Alle DNS-Server, die auf diesen Domänencontrollern ausgeführt werden, können als primäre Server für die Zone fungieren und dynamische Updates empfangen. Die Replikation in Active Directory erfolgt pro Eigenschaft, sodass nur relevante Änderungen weitergegeben werden.
  • Alterung und Aufräumen von Einträgen

    Der DNS-Server kann die Einträge durchsuchen und nicht mehr benötigte Einträge entfernen. Durch Aktivieren dieser Funktion verhindern Sie, dass veraltete Einträge im DNS-System verbleiben.
  • Sichere dynamische Updates in Active Directory-integrierten Zonen

    Sie können Active Directory-integrierte Zonen für sichere dynamische Updates konfigurieren, sodass nur autorisierte Benutzer Änderungen an einer Zone oder einem Eintrag vornehmen können.
  • Administration an der Eingabeaufforderung
  • Erweiterte Namensauflösung
  • Erweitertes Caching und Negativcaching
  • Interoperabilität mit anderen DNS-Serverimplementierungen
  • Integration mit anderen Netzwerkdiensten
  • Inkrementelle Zonenübertragung

Aktualisierung von DNS-Namen bei Windows Server 2003-Computern

Standardmäßig versuchen Windows Server 2003-Computer, die statisch für TCP/IP konfiguriert wurden, Ressourceneinträge für Hostadresse (A) und Zeiger (PTR) für IP-Adressen, die für die installierten Netzwerkverbindungen konfiguriert sind und von diesen genutzt werden, dynamisch zu registrieren. Computerregistrierungsdatensätze basieren standardmäßig auf dem vollständigen Computernamen.

Bei Windows Server 2003-Computern ist der primäre vollständige Computername gleichzeitig ein vollqualifizierter Domänenname. Außerdem wird der primäre vollständige Computername gebildet, indem das primäre DNS-Suffix des Computers an den Computernamen angehängt wird. Wenn Sie das primäre DNS-Suffix und den Namen des Computers ermitteln möchten, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, klicken auf Eigenschaften und anschließend auf Computername.

DNS-Updates können aus folgenden Gründen bzw. bei folgenden Ereignissen gesendet werden:
  • Wenn in der Konfiguration der TCP/IP-Eigenschaften für eine installierte Netzwerkverbindung eine IP-Adresse hinzugefügt, entfernt oder verändert wird.
  • Wenn eine IP-Adresslease eine der installierten Netzwerkverbindungen beim DHCP-Server verändert oder erneuert. (beispielsweise beim Starten des Computers, oder wenn der Befehl ipconfig /renew verwendet wird).
  • Wenn Sie den Befehl ipconfig /registerdns verwenden, um ein Update der Registrierung des Clientnamens in DNS manuell zu erzwingen.
  • Wenn der Computer eingeschaltet wird.
  • Wenn ein Mitgliedsserver zum Domänencontroller hochgestuft wird.
Wenn eines dieser Ereignisse ein DNS-Update auslöst, sendet der DHCP-Clientdienst (nicht der DNS-Clientdienst) Updates. Wenn DHCP eine Änderung der IP-Adressinformationen verursacht, werden in DNS entsprechende Updates durchgeführt, um die Namen-/Adresszuordnungen für den Computer zu synchronisieren. Der DHCP-Clientdienst führt diese Funktion für alle Netzwerkverbindungen des Systems durch, selbst für Verbindungen, die nicht für DHCP konfiguriert wurden.

Hinweise:
  • Der Updateprozess bei Windows Server 2003-Computern, die ihre IP-Adresse über DHCP beziehen, unterscheidet sich von dem in diesem Abschnitt beschriebenen Prozess. Weitere Informationen finden Sie in den Abschnitten "Integration von DHCP und DNS" und "Windows-DHCP-Clients und das Protokoll für dynamische DNS-Updates".
  • Der in diesem Abschnitt beschriebene Updateprozess geht davon aus, dass die Standardwerte aus der Installation von Windows Server 2003 noch wirksam sind. Wenn für die erweiterten TCP/IP-Eigenschaften vom Standard abweichende DNS-Einstellungen konfiguriert wurden, können bestimmte Namen und das Updateverhalten abweichen.
  • Neben dem vollständigen Computernamen oder primären Namen des Computers können Sie auch zusätzliche verbindungsspezifische DNS-Namen konfigurieren und diese optional in DNS registrieren oder aktualisieren.
Standardmäßig registrieren Windows XP und Windows Server 2003 ihre A- und PTR-Ressourceneinträge alle 24 Stunden neu. Um diese Zeit zu ändern, fügen Sie den Registrierungsschlüssel
DefaultRegistrationRefreshInterval
unter folgendem Registrierungsunterschlüssel hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\TcpIP\Services\Parameters
Das Intervall wird in Sekunden festgelegt.

Beispiel für die Funktionsweise von DNS-Updates

Bei Windows Server 2003 werden dynamische Updates in der Regel angefordert, wenn auf dem Computer ein DNS-Name oder eine IP-Adresse verändert wurde. Beispielsweise wird ein Client mit dem Namen "host_alt" zunächst in den Systemeigenschaften für folgende Namen konfiguriert:
Computername: host_alt
DNS-Domänenname des Computers: beispiel.microsoft.com
Vollständiger Computername: host_alt.beispiel.microsoft.com
In diesem Beispiel werden keine verbindungsspezifischen DNS-Domänennamen für den Computer konfiguriert. Wenn Sie den Computer von "host_alt" in "host_neu" umbenennen, zieht dies folgende Namensänderungen nach sich:
Computername: host_neu
DNS-Domänenname des Computers: beispiel.microsoft.com
Vollständiger Computername: host_neu.beispiel.microsoft.com
Nachdem die Namensänderung in den Systemeigenschaften übernommen wurde, werden Sie aufgefordert, den Computer neu zu starten. Nach dem Neustart von Windows führt der DHCP-Clientdienst die folgenden Schritte zur DNS-Aktualisierung durch:
  1. Der DHCP-Clientdienst sendet eine SOA-Abfrage (Start of Authority, Autoritätsursprung) mit dem DNS-Domänennamen des Computers.

    Der Clientcomputer verwendet den aktuell konfigurierten vollqualifizierten Domänennamen des Computers, beispielsweise "host_neu.beispiel.microsoft.com", als den in der Abfrage angegebenen Namen.
  2. Der autorisierende DNS-Server für die Zone, in der sich der vollqualifizierte Domänenname des Clients befindet, beantwortet die SOA-Abfrage.

    Bei primären Standardzonen ist der primäre Server, oder Besitzer, der in der Antwort auf die SOA-Abfrage zurückgegeben wird, fest und statisch. Der primäre Servername stimmt immer exakt mit dem DNS-Namen überein, da dieser Name im SOA-Ressourceneintrag angezeigt wird, der mit der Zone gespeichert ist. Bei der Aktualisierung von verzeichnisintegrierten Zonen kann hingegen jeder DNS-Server, der die Zone lädt, antworten und in die Antwort auf die SOA-Abfrage dynamisch seinen eigenen Namen als primären Server der Zone einfügen.
  3. Der DHCP-Clientdienst versucht, mit dem primären DNS-Server Kontakt aufzunehmen.

    Der Client verarbeitet die SOA-Abfrageantwort für seinen Namen, um die IP-Adresse des DNS-Servers zu ermitteln, der als primärer Server autorisiert ist, seinen Namen anzunehmen. Anschließend führt der Client (falls erforderlich) die folgenden Schritte durch, um mit dem primären Server Kontakt aufzunehmen und ihn dynamisch zu aktualisieren:
    1. Der Client sendet eine Anforderung zum dynamischen Update an den primären Server, der in der SOA-Abfrageantwort angegeben ist.

      Nach erfolgreicher Aktualisierung werden keine weiteren Schritte durchgeführt.
    2. Schlägt das Update fehl, sendet der Client als Nächstes eine NS-Abfrage für den im SOA-Eintrag angegebenen Zonennamen.
    3. Wenn der Client eine Antwort auf diese Abfrage erhält, sendet der Client eine SOA-Abfrage an den ersten DNS-Server, der in der Antwort aufgeführt ist.
    4. Nachdem die SOA-Abfrage aufgelöst wurde, sendet der Client ein dynamisches Update an den Server, der im zurückgegebenen SOA-Eintrag angegeben wurde.

      Nach erfolgreicher Aktualisierung werden keine weiteren Schritte durchgeführt.
    5. Schlägt auch dieses Update fehl, wiederholt der Client die SOA-Abfrage und sendet diese an den nächsten in der Antwort aufgeführten DNS-Server.
  4. Nach erfolgter Kontaktaufnahme mit dem primären Server, der das Update durchführen kann, sendet der Client die Updateanforderung, und der Server verarbeitet diese.

    Die Updateanforderung enthält Anweisungen, A-Ressourceneinträge (und möglicherweise auch PTR-Ressourceneinträge) für "host_neu.beispiel.microsoft.com" hinzuzufügen und dieselben Eintragstypen für "host_alt.beispiel.microsoft.com" zu entfernen. ("oldhost.beispiel.microsoft.com" ist der zuvor registrierte Name).

    Der Server überprüft außerdem, ob Updates für die Clientanforderung zulässig sind. Bei primären Standardzonen sind dynamische Updates nicht sicher. Alle Updateversuche durch Clients sind erfolgreich. In Active Directory-integrierten Zonen sind Updates sicher und werden mit den Sicherheitseinstellungen des Verzeichnisses durchgeführt.
Dynamische Updates werden regelmäßig gesendet oder aktualisiert. Standardmäßig senden Computer alle 24 Stunden ein Update. Wenn das Update keine Änderung an Zonendaten mit sich bringt, bleibt die aktuelle Version der Zone erhalten, und es werden keine Änderungen geschrieben. Updates, die zu tatsächlichen Zonenänderungen oder erhöhten Zonenübertragungen führen, treten nur dann auf, wenn Änderungen an Namen oder Adressen vorgenommen wurden.

Hinweis: Namen werden aus DNS-Zonen nicht entfernt, wenn sie inaktiv werden oder innerhalb des Updateintervalls (24 Stunden) nicht aktualisiert werden. DNS verfügt über keinen Mechanismus zur Freigabe oder Alterung von Namen, obwohl DNS-Clients versuchen, alte Namenseinträge zu löschen oder zu aktualisieren, wenn ein neuer Name oder eine Adressänderung übernommen wird.

Wenn der DHCP-Clientdienst A- oder PTR-Ressourceneinträge für einen Windows Server 2003-Computer registriert, verwendet der Client eine Standardgültigkeitsdauer von 15 Minuten für Hosteinträge. Dieser Wert bestimmt, wie lange andere DNS-Server und -Clients die Einträge eines Computers zwischenspeichern, wenn sie in einer Abfrageantwort enthalten sind.

Integration von DHCP und DNS

Unter Windows Server 2003 kann ein DHCP-Server dynamische Updates im DNS-Namespace für jeden Client aktivieren, der solche Updates unterstützt. Bereichsclients können das Protokoll für dynamische DNS-Updates verwenden, um ihre Informationen für die Zuordnung von Hostnamen und IP-Adressen bei jeder Änderung ihrer vom DHCP-Server zugewiesenen IP-Adresse zu aktualisieren. (Diese Zuordnungsinformationen werden in den Zonen auf dem DNS-Server gespeichert). Ein DHCP-Server unter Windows Server 2003 kann im Namen seiner DHCP-Clients Updates an jedem DNS-Server vornehmen.

Funktionsweise der Update-Interaktion zwischen DHCP und DNS

Sie können mithilfe des DHCP-Servers die PTR- und A-Ressourceneinträge für die DHCP-Clients des Servers registrieren und aktualisieren. Dabei müssen Sie eine zusätzliche DHCP-Option verwenden, nämlich Option 81 für den vollqualifizierten Domänennamen des Clients. Diese Option erlaubt es dem Client, seinen FQDN in dem Paket DHCPREQUEST an den DHCP-Server zu senden. Dadurch kann der Client den DHCP-Server informieren, welches Service-Level benötigt wird.

Die FQDN-Option beinhaltet die folgenden sechs Felder:
  • Code
    Legt den Code für diese Option fest (81).
  • Len
    Legt die Länge dieser Option fest. (Sie muss mindestens 4 sein.)
  • Flags
    Legt die Dienstart fest.
  • 0
    Der Client registriert den Eintrag "A" (Host).
  • 1
    Der Client möchte, dass DHCP den Eintrag "A" (Host) registriert.
  • 3
    DHCP registriert den Eintrag "A" (Host) unabhängig von der Anfrage des Clients.
  • RCODE1
    Legt einen Antwortcode fest, den der Server an den Client sendet.
  • RCODE2
    Legt eine zusätzliche Abgrenzung von RCODE1 fest.
  • Domain Name
    Legt den FQDN des Clients fest.
Wenn der Client seine Ressourceneinträge bei DNS registrieren möchte, ist der Client dafür verantwortlich, dynamische UPDATE-Anfragen gemäß RFC 2136 zu generieren. Der DHCP-Server registriert dann seinen PTR-Eintrag.

Nehmen wir an, diese Option wird von einem qualifizierten DHCP-Client verwendet, beispielsweise einem DHCP-fähigen Computer, auf dem Windows Server 2003, Microsoft Windows 2000 oder Microsoft Windows XP ausgeführt wird. In diesem Fall wird die Option von DHCP-Servern unter Windows Server 2003 verarbeitet und ausgewertet, um zu ermitteln, wie der Server Updates im Namen des Clients initiieren soll.

Sie können z. B. eine der folgenden Konfigurationen zur Verarbeitung von Clientanforderungen verwenden:
  • Der DHCP-Server registriert und aktualisiert die Clientinformationen bei den konfigurierten DNS-Servern entsprechend der Clientanforderung.

    Dies ist die Standardkonfiguration für DHCP-Server unter Windows Server 2003 und Clients, auf denen Windows Server 2003, Windows 2000 oder Windows XP ausgeführt wird. In diesem Modus können diese Windows-DHCP-Clients angeben, wie der DHCP-Server ihre Host-(A-) und PTR-Ressourceneinträge aktualisieren soll. Wenn möglich, verarbeitet der DHCP-Server die Clientanforderung für die Vorgehensweise bei Updates seiner Namens- und IP-Adressinformationen in DNS.

    Gehen Sie folgendermaßen vor, um den DHCP-Server für die Registrierung von Clientinformationen entsprechend den Anforderungen des Clients zu konfigurieren:
    1. Öffnen Sie die DHCP-Eigenschaften für den Server oder den einzelnen Bereich.
    2. Klicken Sie auf die Registerkarte DNS, klicken Sie auf Eigenschaften, und aktivieren Sie dann das Kontrollkästchen DNS-A- und -PTR-Einträge nur nach Aufforderung von DHCP-Client dynamisch aktualisieren.
  • Der DHCP-Server registriert und aktualisiert Clientinformationen immer bei den für ihn konfigurierten DNS-Servern.

    Dies ist eine angepasste Konfiguration für DHCP-Server unter Windows Server 2003 und Clients mit Windows Server 2003, Windows 2000 oder Windows XP. In diesem Modus führt der DHCP-Server immer Updates des vollqualifizierten Domänennamens und der IP-Adresslease des Clients durch, unabhängig davon, ob der Client angefragt hatte, diese Updates selbst durchzuführen.

    Gehen Sie folgendermaßen vor, um den DHCP-Server so zu konfigurieren, dass Clientinformationen bei seinen konfigurierten DNS-Servern registriert und aktualisiert werden:
    1. Öffnen Sie die DHCP-Eigenschaften für den Server.
    2. Klicken Sie auf DNS, klicken Sie auf Eigenschaften, aktivieren Sie das Kontrollkästchen Dynamische DNS-Updates mit den unten angegebenen Einstellungen aktualisieren, und klicken Sie dann auf DNS-A- und -PTR-Einträge immer dynamisch aktualisieren.
  • Der DHCP-Server registriert und aktualisiert Clientinformationen niemals bei den für ihn konfigurierten DNS-Servern.

    Hierfür muss in der Konfiguration des DHCP-Servers die Durchführung von DHCP/DNS-Proxyupdates deaktiviert sein. Wenn Sie diese Konfiguration verwenden, werden für DHCP-Clients keine Host-(A-) oder PTR-Ressourceneinträge in DNS aktualisiert.

    Gehen Sie folgendermaßen vor, um den Server so zu konfigurieren, dass er niemals Clientinformationen aktualisiert:
    1. Öffnen Sie auf dem DHCP-Server unter Windows Server 2003 die DHCP-Eigenschaften für den DHCP-Server oder einen seiner Bereiche.
    2. Klicken Sie auf DNS, auf Eigenschaften, und deaktivieren Sie dann das Kontrollkästchen Dynamische DNS-Updates mit den unten angegebenen Einstellungen aktualisieren.
    Standardmäßig werden Updates immer für neu installierte DHCP-Server unter Windows Server 2003 und für neu für diese Server erstellte Bereiche durchgeführt.

Windows-DHCP-Clients und das Protokoll für dynamische DNS-Updates

DHCP-Clients mit Windows Server 2003, Windows 2000, Windows XP oder früheren Betriebssystemen können bei Interaktionen zwischen DHCP und DNS unterschiedlich reagieren. Die folgenden Beispiele veranschaulichen, wie unterschiedlich der Prozess in verschiedenen Fällen ablaufen kann.

Beispiel für die DHCP/DNS-Update-Interaktion für DHCP-Clients unter Windows Server 2003, Windows 2000 und Windows XP

Bei DHCP-Clients unter Windows Server 2003, Windows 2000 oder Windows XP läuft die Interaktion mit dem Protokoll für dynamische DNS-Updates folgendermaßen ab:
  1. Der Client initiiert eine DHCP-Anforderungsnachricht (DHCPREQUEST) an den Server. Diese Anforderung umfasst Option 81.
  2. Der Server gibt eine DHCP-Bestätigungsnachricht (DHCPACK) an den Client zurück, der ihm eine IP-Adresslease gewährt (mit Option 81). Wenn der DHCP-Server mit den Standardeinstellungen konfiguriert wurde, teilt Option 81 dem Client mit, dass der DHCP-Server den DNS-PTR-Eintrag registrieren wird und der Client den DNS-A-Eintrag registrieren muss.
  3. Der Client sendet zeitversetzt eine DNS-Updateanforderung für seinen eigenen Forward-Lookupeintrag, einen Host-(A-)Ressourceneintrag, an den DNS-Server.
  4. Der DHCP-Server registriert den PTR-Eintrag des Clients.

Beispiel für eine DHCP/DNS-Update-Interaktion bei Windows-DHCP-Clients, die eine frühere Windows-Version nutzen als Windows Server 2003

Frühere Versionen des Windows-DHCP-Clients bieten keine direkte Unterstützung des dynamischen DNS-Updateprozesses und können nicht direkt mit dem DNS-Server kommunizieren. Bei diesen DHCP-Clients werden Updates in der Regel wie folgt durchgeführt:
  1. Der Client initiiert eine DHCP-Anforderungsnachricht (DHCPREQUEST) an den Server. Diese Anforderung umfasst nicht Option 81.
  2. Der Server gibt eine DHCP-Bestätigungsnachricht (DHCPACK) an den Client zurück, der ihm eine IP-Adresslease gewährt (ohne Option 81).
  3. Der Server sendet Updates für den Forward-Lookupeintrag und den Host-(A-)Ressourceneintrag des Clients an den DNS-Server, und er sendet ein Update für den PTR-Reverse-Lookupeintrag des Clients.

Sichere dynamische Updates

Unter Windows Server 2003 sind sichere DNS-Updates nur in Zonen verfügbar, die in Active Directory integriert sind. Nach der Integration einer Zone können Sie die im DNS-Snap-In verfügbaren Bearbeitungsfunktionen für Zugriffssteuerungslisten (Access Control List, ACL) verwenden, um Benutzer oder Gruppen für eine spezifische Zone oder einen spezifischen Ressourceneintrag zu der Zugriffssteuerungsliste hinzuzufügen bzw. aus ihr zu entfernen.

Weitere Informationen finden Sie in der Hilfe zu Windows Server 2003, indem Sie entweder nach "Sicherheit für Ressourceneinträge ändern" oder nach "Sicherheit für verzeichnisintegrierte Zonen ändern" suchen.

Standardmäßig wird die Sicherheit dynamischer Updates für DNS-Server und -Clients unter Windows Server 2003 wie folgt gewährleistet:
  1. DNS-Clients unter Windows Server 2003 versuchen zunächst, nicht sichere dynamische Updates zu verwenden. Wird das nicht sichere Update abgelehnt, versuchen die Clients, ein sicheres Update durchzuführen.

    Außerdem verwenden die Clients eine Standardupdaterichtlinie, die ihnen erlaubt, zuvor registrierte Ressourceneinträge zu überschreiben, sofern dies nicht durch die Sicherheitseinstellungen für Updates spezifisch unterbunden wird.
  2. Nachdem eine Zone in Active Directory integriert worden ist, lassen DNS-Server unter Windows Server 2003 standardmäßig nur sichere dynamische Updates zu.
Wenn Sie Standardzonenspeicher verwenden, lässt der DNS-Serverdienst standardmäßig keine dynamischen Updates seiner Zonen zu. Für Zonen, die entweder verzeichnisintegriert sind oder den standardmäßigen dateibasierten Speicher verwenden, können Sie die Einstellungen ändern und alle dynamischen Updates zulassen. Hierdurch wird die Verwendung sicherer Updates umgangen, und alle Updates werden akzeptiert.

Wichtig: Der DHCP-Serverdienst kann für Legacyclients, die dynamische Updates nicht unterstützen, DNS-Einträge stellvertretend registrieren und aktualisieren. Weitere Informationen finden Sie in der Hilfe zu Windows Server 2003 unter "Verwenden von DNS-Servern mit DHCP".

Wenn Sie in Ihrem Netzwerk mehrere DHCP-Server unter Windows Server 2003 verwenden und Ihre Zonen so konfigurieren, dass nur sichere dynamische Updates zulässig sind, müssen Sie die DHCP-Servercomputer mithilfe des Snap-Ins "Active Directory-Benutzer und -Computer" der integrierten DnsUpdateProxy-Gruppe hinzufügen. Dadurch erhalten alle DHCP-Server die Sicherheitsberechtigungen, um Proxyupdates für DHCP-Clients durchzuführen. Weitere Informationen finden Sie in der Hilfe zu Windows Server 2003 unter "Verwenden von DNS-Servern mit DHCP" oder "Verwalten von Gruppen".

Achtung Die Funktion für sichere dynamische Updates ist möglicherweise gefährdet, wenn folgende Bedingungen erfüllt sind:
  • Sie arbeiten mit einem DHCP-Server auf einem Windows Server 2003-Domänencontroller.
  • Der DHCP-Server ist für die Registrierung von DNS-Einträgen im Auftrag seiner Clients konfiguriert.
Stellen Sie DHCP-Server und Domänencontroller auf getrennten Computern bereit, oder konfigurieren Sie den DHCP-Server so, dass ein dediziertes Benutzerkonto für dynamische Updates verwendet wird, um dieses Problem zu umgehen. Weitere Informationen finden Sie in der Hilfe zu Windows Server 2003 unter "Verwenden von DNS-Servern mit DHCP".

Weitere Informationen finden Sie in diesem Artikel im Abschnitt "Sicherheitsaspekte bei Verwendung der DnsUpdateProxy-Gruppe".

Nur sichere dynamische Updates zulassen

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf DNS.
  2. Doppelklicken Sie unter DNS auf den betreffenden DNS-Server, doppelklicken Sie auf Forward-Lookupzonen oder auf Reverse-Lookupzonen, und klicken Sie dann mit der rechten Maustaste auf die betreffende Zone.
  3. Klicken Sie auf Eigenschaften.
  4. Überprüfen Sie auf der Registerkarte Allgemein, ob es sich um einen Active Directory-integrierten Zonentyp handelt.
  5. Klicken Sie im Feld Dynamische Updates auf Nur sichere.
  6. Klicken Sie auf OK.
Hinweis: Die sichere dynamische Updatefunktion wird nur für Active Directory-integrierte Zonen unterstützt. Wenn Sie einen anderen Zonentyp konfigurieren, ändern Sie den Zonentyp und integrieren Sie die Zone, bevor Sie sie für DNS-Updates sichern. Dynamische Updates sind eine Erweiterung des DNS-Standards gemäß RFC. Der DNS-Updateprozess ist in RFC 2136 ("Dynamic Updates in the Domain Name System [DNS UPDATE]") definiert.

Verwenden der DnsUpdateProxy-Sicherheitsgruppe

Sie können einen DHCP-Server unter Windows Server 2003 so konfigurieren, dass er Host-(A-) und PTR-Ressourceneinträge im Namen seiner DHCP-Clients dynamisch registriert. Wenn Sie bei dieser Konfiguration sichere dynamische Updates für DNS-Server unter Windows Server 2003 verwenden, können die Ressourceneinträge veralten.

Beispielsweise in dem folgenden Szenario:
  1. Ein DHCP-Server unter Windows Server 2003 (DHCP1) führt ein sicheres dynamisches Update im Namen eines seiner Clients für einen spezifischen DNS-Domänennamen durch.
  2. Da der DHCP-Server den Namen erfolgreich erstellt hat, wird er zum Besitzer des Namens.
  3. Sobald der DHCP-Server zum Besitzer des Clientnamens geworden ist, kann nur noch dieser DHCP-Server den Namen aktualisieren.
Unter bestimmten Bedingungen kann dieses Szenario zu Problemen führen. Fällt beispielsweise DHCP1 aus und geht ein zweiter Ersatz-DHCP-Server online, kann der Ersatzserver den Clientnamen nicht aktualisieren, da der Server nicht der Besitzer des Namens ist.

Ein weiteres Beispiel: Angenommen, der DHCP-Server führt dynamische Updates für Legacyclients durch. Wenn Sie diese Clients später auf Windows Server 2003, Windows 2000 oder Windows XP aktualisieren, können die aktualisierten Clients nicht Besitzer ihrer eigenen DNS-Einträge werden und diese auch nicht aktualisieren.

Zur Umgehung dieses Problems wurde die integrierte DnsUpdateProxy-Sicherheitsgruppe zur Verfügung gestellt. Wenn alle DHCP-Server der DnsUpdateProxy-Gruppe hinzugefügt werden, können die Einträge eines Servers durch einen anderen Server aktualisiert werden, falls der erste Server ausfällt. Alle Objekte, die von den Mitgliedern der DnsUpdateProxy-Gruppe erstellt werden, sind nicht sicher. Daher wird der erste Benutzer, der kein Mitglied der DnsUpdateProxy-Gruppe ist und die mit einem DNS-Namen verknüpften Einträge verändert, der Besitzer dieses DNS-Namens. So können Legacyclients nach ihrem Upgrade Besitzer ihrer Namenseinträge auf dem DNS-Server werden. Wenn jeder DHCP-Server, der Ressourceneinträge für Legacyclients registriert, Mitglied der DnsUpdateProxy-Gruppe ist, lassen sich viele Probleme vermeiden.

Hinzufügen von Mitgliedern zur DnsUpdateProxy-Gruppe

Verwenden Sie das Snap-In "Active Directory-Benutzer und -Computer", um die DnsUpdateProxy-Sicherheitsgruppe zu konfigurieren.

Hinweis: Wenn Sie aus Gründen der Fehlertoleranz mehrere DHCP-Server verwenden und sichere dynamische Updates nutzen, müssen Sie jeden Server zur globalen DnsUpdateProxy-Sicherheitsgruppe hinzufügen.

Sicherheitsaspekte bei Verwendung der DnsUpdateProxy-Gruppe

DNS-Domänennamen, die durch den DHCP-Server registriert werden, sind nicht sicher, wenn der DHCP-Server Mitglied der DnsUpdateProxy-Gruppe ist. Der Host-(A-)Ressourceneintrag für den DHCP-Server selbst ist ein Beispiel für einen derartigen Eintrag. Außerdem sind Objekte, die von Mitgliedern der DnsUpdateProxy-Gruppe erstellt werden, nicht sicher. Daher können Sie diese Gruppe in einer Active Directory-integrierten Zone, die nur sichere dynamische Updates zulässt, nur verwenden, wenn Sie mit zusätzlichen Schritten die Sicherung von Einträgen zulassen, die von Gruppenmitgliedern erstellt wurden.

Gehen Sie folgendermaßen vor, um unsichere Einträge zu sichern oder es Mitgliedern der Gruppe "DnsUpdateProxy" zu ermöglichen, Einträge in Zonen zu registrieren, die nur sichere dynamische Updates zulassen:
  1. Erstellen Sie ein dediziertes Benutzerkonto.
  2. Konfigurieren Sie DHCP-Server so, dass sie mit den Anmeldeinformationen des Benutzerkontos dynamische DNS-Updates durchführen können. (Zu den Anmeldeinformationen gehören der Benutzername, das Passwort und die Domäne).
Die Anmeldeinformationen eines einzigen dedizierten Benutzerkontos können von mehreren DHCP-Servern genutzt werden.

Ein dediziertes Benutzerkonto ist ein Benutzerkonto, dessen alleiniger Zweck die Bereitstellung von Anmeldeinformationen für DHCP-Server zur Registrierung dynamischer DNS-Updates ist. Angenommen, Sie haben ein dediziertes Benutzerkonto erstellt und DHCP-Server mit den Anmeldeinformationen dieses Kontos konfiguriert. Dann übergibt jeder DHCP-Server diese Anmeldeinformationen, wenn er mithilfe der dynamischen DNS-Updates die Namen von DHCP-Clients registriert. Das dedizierte Benutzerkonto sollte an der Stelle in der Gesamtstruktur erstellt werden, an der sich der primäre DNS-Server der zu aktualisierenden Zone befindet. Das dedizierte Benutzerkonto kann sich auch in einer anderen Gesamtstruktur befinden. Für diese Gesamtstruktur muss jedoch eine Gesamtstrukturvertrauensstellung mit der Gesamtstruktur eingerichtet sein, in der sich der primäre DNS-Server der zu aktualisierenden Zone befindet.

Wenn der DHCP-Serverdienst auf einem Domänencontroller installiert wird, können Sie den DHCP-Server mit den Anmeldeinformationen des dedizierten Benutzerkontos konfigurieren, um zu verhindern, dass der Server die Rechte des Domänencontrollers erbt und möglicherweise missbraucht. Bei der Installation auf einem Domänencontroller erbt der DHCP-Serverdienst die Sicherheitsberechtigungen des Domänencontrollers und kann jeden DNS-Eintrag, der in einer sicheren Active Directory-integrierten Zone registriert ist, aktualisieren oder löschen. (Dazu gehören auch Einträge, die von anderen Windows 2000- oder Windows Server 2003-Computern sowie von Domänencontrollern sicher registriert wurden).

Konfigurieren von dynamischen DNS-Updates

Die in Windows Server 2003 verfügbare dynamische Updatefunktion entspricht RFC 2136. Dynamische Updates ermöglichen Clients und Servern die Registrierung von DNS-Domänennamen (PTR-Ressourceneinträgen) und IP-Adresszuordnungen (A-Ressourceneinträgen) bei einem mit RFC 2136 kompatiblen DNS-Server.

Konfigurieren von dynamischen DNS-Updates für DHCP-Clients

In der Standardkonfiguration beantragen DHCP-Clients unter Windows Server 2003, Windows 2000 und Windows XP, dass die Registrierung des A-Ressourceneintrags durch den Client und die Registrierung des PTR-Ressourceneintrags durch den Server erfolgt. Der bei der DNS-Registrierung verwendete Name besteht standardmäßig aus einer Verkettung von Computernamen und primärem DNS-Suffix. Wenn Sie diesen Standardnamen ändern möchten, öffnen Sie die TCP/IP-Eigenschaften der Netzwerkverbindung.

Gehen Sie folgendermaßen vor, um die Standardeinstellungen für dynamische Updates auf dem Client zu ändern:
  1. Doppelklicken Sie in der Systemsteuerung auf Netzwerkverbindungen.
  2. Klicken Sie mit der rechten Maustaste auf die zu konfigurierende Verbindung, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf Internetprotokoll (TCP/IP), klicken Sie auf Eigenschaften, und klicken Sie dann auf Erweitert.
  4. Klicken Sie auf DNS.

    Standardmäßig ist Adressen dieser Verbindung in DNS registrieren aktiviert und DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden deaktiviert. Bei dieser Standardkonfiguration fordert der Client an, dass die Registrierung des A-Ressourceneintrags durch den Client und die Registrierung des PTR-Ressourceneintrags durch den Server erfolgt.
  5. Aktivieren Sie das Kontrollkästchen DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden.

    Anschließend fordert der Client beim Server die Aktualisierung des PTR-Eintrags unter Verwendung des vollqualifizierten Domänennamens an. Wenn der DHCP-Server für die Registrierung von DNS-Eintragen gemäß der Anforderung durch den Client konfiguriert wurde, registriert der Client die folgenden Einträge:
    • Den PTR-Eintrag.
    • Den A-Eintrag, der als Namen eine Verknüpfung von Computernamen und primärem DNS-Suffix verwendet.
    • Den A-Eintrag, der als Namen eine Verknüpfung von Computernamen und verbindungsspezifischem DNS-Suffix verwendet.
  6. Wenn Sie den Client so konfigurieren möchten, dass er keine DNS-Registrierung anfordert, deaktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren.

Konfigurieren von dynamischen DNS-Updates auf mehrfach vernetzten Clientcomputern

Ist ein Client mit dynamischem Update mehrfach vernetzt (verfügt er also über mehrere Netzwerkkarten und IP-Adressen), registriert er standardmäßig alle seine IP-Adressen in DNS. Wenn der Client nicht alle seine IP-Adressen registrieren soll, können Sie in den Eigenschaften der Netzwerkverbindung festlegen, dass eine oder mehrere IP-Adressen nicht registriert werden.

Gehen Sie folgendermaßen vor, um die Registrierung aller IP-Adressen zu verhindern:
  1. Doppelklicken Sie in der Systemsteuerung auf Netzwerkverbindungen.
  2. Klicken Sie mit der rechten Maustaste auf die zu konfigurierende Verbindung, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf Internetprotokoll (TCP/IP), klicken Sie auf Eigenschaften, und klicken Sie dann auf Erweitert.
  4. Klicken Sie auf DNS.
  5. Deaktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren.
Sie können auch festlegen, dass der Computer seinen Domänennamen in DNS registriert. Wenn beispielsweise ein Client mit zwei verschiedenen Netzwerken verbunden ist, können Sie für jedes Netzwerk einen anderen Domänennamen für den Client konfigurieren.

Konfigurieren von dynamischen DNS-Updates auf einem DHCP-Server unter Windows Server 2003

Gehen Sie folgendermaßen vor, um dynamische DNS-Updates auf einem DHCP-Server unter Windows Server 2003 zu konfigurieren:
  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf DHCP.
  2. Klicken Sie mit der rechten Maustaste auf den betreffenden DHCP-Server oder -Bereich, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf DNS.
  4. Aktivieren Sie das Kontrollkästchen Dynamische DNS-Updates mit den unten angegebenen Einstellungen aktualisieren, um dynamische DNS-Updates für Clients zu aktivieren, die diese Funktion unterstützen.

    Hinweis: Dieses Kontrollkästchen ist standardmäßig aktiviert.
  5. Wenn Sie dynamische DNS-Updates auch für DHCP-Clients aktivieren möchten, die diese Funktion nicht unterstützen, aktivieren Sie das Kontrollkästchen DNS-A- und -PTR-Einträge für DHCP-Clients, die keine Updates anfordern (z. B. Clients, die Windows NT 4.0 ausführen), dynamisch aktualisieren.
  6. Klicken Sie auf OK.

Aktivieren von dynamischen DNS-Updates für einen DNS-Server

Bei einem DHCP-Server unter Windows Server 2003 können Sie DNS-Einträge für Clients mit einem früheren Betriebssystem als Windows Server 2003 dynamisch aktualisieren, die das selbst nicht können.

Gehen Sie folgendermaßen vor, um dynamische Updates von DNS-Einträgen für die Clients eines DHCP-Servers zu aktivieren:
  1. Wählen Sie in der DHCP-Verwaltungskonsole den Bereich oder DHCP-Server aus, für den Sie dynamische DNS-Updates zulassen möchten.
  2. Klicken Sie im Menü Aktion auf Eigenschaften und dann auf DNS.
  3. Aktivieren Sie das Kontrollkästchen Dynamische DNS-Updates mit den unten angegebenen Einstellungen aktualisieren.
  4. Wenn Sie die DNS-Einträge eines Clients basierend auf dem Typ der vom Client gemachten DHCP-Anforderung aktualisieren möchten, aktivieren Sie das Kontrollkästchen DNS-A- und -PTR-Einträge nur nach Aufforderung von DHCP-Client dynamisch aktualisieren. (Dieses Update findet nur bei Anforderung durch einen Client statt).
  5. Wenn die Forward- und Reverse-Lookupeinträge eines Clients immer aktualisiert werden sollen, aktivieren Sie das Kontrollkästchen DNS-A- und -PTR-Einträge immer dynamisch aktualisieren.
  6. Aktivieren Sie das Kontrollkästchen A- und PTR-Einträge beim Löschen der Lease verwerfen, damit der DHCP-Server den Eintrag eines Clients löscht, sobald dessen DHCP-Lease abläuft und nicht erneuert wird.

Deaktivieren von dynamischen DNS-Updates

Warnung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

Clients unter Windows Server 2003 sind standardmäßig für dynamische Updates konfiguriert. Gehen Sie folgendermaßen vor, um dynamische Updates für alle Netzwerkkarten zu deaktivieren:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie DisableDynamicUpdate ein, und drücken Sie dann zweimal die [EINGABETASTE].
  5. Geben Sie im Feld DWORD-Wert bearbeiten unter Wert den Wert 1 ein, und klicken Sie auf OK.
  6. Beenden Sie den Registrierungseditor.
Gehen Sie folgendermaßen vor, um dynamische Updates für eine bestimmte Netzwerkkarte zu deaktivieren:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Unterschlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
    Hinweis: Dabei ist interface die Gerätekennung des Netzwerkadapters für die Schnittstelle, für die Sie das dynamische Update deaktivieren möchten.
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie DisableDynamicUpdate ein, und drücken Sie dann zweimal die [EINGABETASTE].
  5. Geben Sie im Feld DWORD-Wert bearbeiten unter Wert den Wert 1 ein, und klicken Sie auf OK.
  6. Beenden Sie den Registrierungseditor.

Eigenschaften

Artikel-ID: 816592 - Geändert am: Montag, 3. Dezember 2007 - Version: 8.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Keywords: 
kbhowtomaster KB816592
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com