Jak skonfigurować aktualizacje dynamiczne usługi DNS w systemie Windows Server 2003

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 816592 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Wersja tego artykułu dla systemu Microsoft Windows 2000: 317590.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano sposób konfigurowania funkcji aktualizacji usługi DNS w systemie Microsoft Windows Server 2003. Funkcja aktualizacji usługi DNS umożliwia komputerom klienckim usługi DNS rejestrowanie i dynamiczną aktualizację rekordów zasobów na serwerze DNS po każdym wystąpieniu zmian. Dzięki tej funkcji można ograniczyć konieczność ręcznego administrowania rekordami stref, szczególnie w przypadku klientów często zmieniających lokalizację i używających protokołu DHCP (Dynamic Host Configuration Protocol) do uzyskania adresu IP.

System Windows Server 2003 zapewnia obsługę funkcji aktualizacji dynamicznej zgodnie ze specyfikacją RFC 2136. W przypadku serwerów DNS usługa DNS umożliwia włączanie i wyłączanie funkcji aktualizacji DNS na podstawie stref na każdym serwerze skonfigurowanym do ładowania podstawowej lub pomocniczej strefy zintegrowanej z katalogiem.

Funkcje aktualizacji usługi DNS w systemie Windows Server 2003

Usługa DNS umożliwia komputerom klienckim dynamiczną aktualizację swoich rekordów zasobów w systemie DNS. Użycie tej funkcji ułatwia administrację usługi DNS dzięki skróceniu czasu wymaganego na ręczne zarządzanie rekordami stref. Funkcji aktualizacji usługi DNS w połączeniu z protokołem DHCP można użyć do zaktualizowania rekordów zasobów po zmianie adresu IP komputera. Komputery z systemem Windows Server 2003 mogą wysyłać aktualizacje dynamiczne.

System Windows Server 2003 ma następujące funkcje związane z protokołem aktualizacji dynamicznej DNS:
  • Korzystanie z usługi katalogowej Active Directory jako usługi lokalizatora kontrolerów domen.
  • Integracja z usługą Active Directory.

    Istnieje możliwość integracji stref DNS z usługą Active Directory w celu podniesienia poziomu zabezpieczeń i zwiększenia odporności na błędy. Każda strefa zintegrowana z usługą Active Directory jest replikowana na wszystkich kontrolerach domen w domenie usługi Active Directory. Wszystkie serwery DNS uruchomione na tych kontrolerach domen mogą pełnić funkcje podstawowych serwerów strefy i akceptować aktualizacje dynamiczne. Usługa Active Directory wykonuje replikację na podstawie właściwości i propaguje tylko istotne zmiany.
  • Przedawnianie i oczyszczanie rekordów.

    Serwer DNS może wyszukiwać i usuwać zbędne rekordy. Włączenie tej funkcji zapobiega pozostawianiu przestarzałych rekordów w systemie DNS.
  • Zabezpieczone aktualizacje dynamiczne w strefach zintegrowanych z usługą Active Directory.

    Strefy zintegrowane z usługą Active Directory można skonfigurować zgodnie z wymaganiami zabezpieczonych aktualizacji dynamicznych, tak aby tylko autoryzowani użytkownicy mogli zmieniać rekord lub strefę.
  • Administracja z wiersza polecenia.
  • Ulepszone rozpoznawanie nazw.
  • Ulepszone buforowanie i buforowanie negatywne.
  • Współpraca z innymi implementacjami serwerów DNS.
  • Integracja z innymi usługami sieciowymi.
  • Przyrostowy transfer stref.

Sposób aktualizowania nazw DNS przez komputery z systemem Windows Server 2003

Domyślnie komputery z systemem Windows Server 2003 o statycznej konfiguracji TCP/IP próbują dynamicznie zarejestrować rekordy zasobów adresu hosta (A) i wskaźnika (PTR) skonfigurowanych adresów IP używanych przez zainstalowane połączenia sieciowe. Domyślnie wszystkie komputery rejestrują rekordy na podstawie pełnej nazwy komputera.

W komputerach z systemem Windows Server 2003 podstawową pełną nazwą komputera jest w pełni kwalifikowana nazwa domeny (FQDN). Ponadto podstawowa pełna nazwa komputera jest podstawowym sufiksem DNS komputera dołączanym do jego nazwy. W celu określenia podstawowego sufiksu DNS komputera i nazwy komputera należy kliknąć prawym przyciskiem myszy ikonę Mój komputer, kliknąć polecenie Właściwości, a następnie kliknąć kartę Nazwa komputera.

Aktualizacje DNS mogą być wysyłane w przypadku wystąpienia dowolnego z następujących zdarzeń:
  • Dodano, usunięto lub zmodyfikowano adres IP w konfiguracji właściwości TCP/IP dowolnego zainstalowanego połączenia sieciowego.
  • Dzierżawa adresu IP zmienia lub odnawia dowolne zainstalowane połączenie sieciowe z serwerem DHCP. Na przykład po uruchomieniu komputera lub wydaniu polecenia ipconfig /renew.
  • Użyto polecenia ipconfig /registerdns, aby ręcznie wymusić aktualizację rejestracji nazwy klienta w usłudze DNS.
  • Komputer został uruchomiony.
  • Gdy serwer członkowski został podwyższony do poziomu kontrolera domeny.
W przypadku wyzwolenia przez jedno z tych zdarzeń aktualizacji DNS usługa klienta DHCP, a nie usługa klienta DNS, wysyła aktualizację. Jeśli zmiana w informacjach o adresach IP jest spowodowana przez protokół DHCP, zostaną wykonane odpowiednie aktualizacje w systemie DNS w celu zsynchronizowania mapowań typu nazwa-adres dla danego komputera. Usługa klienta DHCP pełni tę funkcję wobec wszystkich połączeń sieciowych używanych w systemie. Dotyczy to również połączeń nieskonfigurowanych do korzystania z protokołu DHCP.

Uwagi
  • Proces aktualizacji na komputerach z systemem Windows Server 2003, które używają protokołu DHCP do uzyskiwania adresu IP, różni się od procesu opisanego w tej sekcji. Więcej informacji można znaleźć w sekcjach „Integracja protokołu DHCP z usługą DNS” oraz „Klienci DHCP systemu Windows i protokół aktualizacji dynamicznych DNS”.
  • Przy opisywaniu procesu aktualizacji w tej sekcji założono, że obowiązują domyślne ustawienia instalacji systemu Windows Server 2003. Istnieje możliwość zmiany konkretnych nazw i sposobu aktualizacji, jeśli skonfigurowano zaawansowane właściwości TCP/IP, tak aby były używane ustawienia DNS inne niż domyślne.
  • Poza pełną nazwą komputera lub nazwą podstawową można skonfigurować dodatkowe, charakterystyczne dla połączenia nazwy DNS i opcjonalnie zarejestrować je lub zaktualizować w usłudze DNS.
Systemy Windows XP i Windows Server 2003 domyślnie ponownie rejestrują swoje rekordy zasobów A i PTR co 24 godziny. Aby to zmienić, dodaj klucz rejestru
DefaultRegistrationRefreshInterval
w następującym podkluczu rejestru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\TcpIP\Services\Parameters
Interwał jest ustawiany w sekundach.

Przykład działania aktualizacji usługi DNS

W systemie Windows Server 2003 żądanie aktualizacji dynamicznej występuje zwykle po zmianie nazwy DNS lub adresu IP komputera. Na przykład klient o nazwie „staryhost” został początkowo skonfigurowany we właściwościach systemu pod następującymi nazwami:
Nazwa komputera: staryhost
Nazwa domeny DNS komputera: przyklad.microsoft.com
Pełna nazwa komputera: staryhost.przyklad.microsoft.com
W tym przykładzie nie skonfigurowano na komputerze żadnych nazw domeny DNS charakterystycznych dla połączenia. Jeśli nazwa komputera zostanie zmieniona ze „staryhost” na „nowyhost”, nazwy zmienią się w następujący sposób:
Nazwa komputera: nowyhost
Nazwa domeny DNS komputera: przyklad.microsoft.com
Pełna nazwa komputera: nowyhost.przyklad.microsoft.com
Po zastosowaniu zmiany nazwy w oknie dialogowym Właściwości systemu pojawi się monit systemu Windows Server 2003 z prośbą o ponowne uruchomienie komputera. Po ponownym uruchomieniu systemu Windows usługa klienta DHCP wykona następujące czynności w celu aktualizacji usługi DNS:
  1. Usługa klienta DHCP wysyła kwerendę typu adres startowy uwierzytelniania (SOA, Start of Authority) przy użyciu nazwy domeny DNS komputera.

    Komputer kliencki używa aktualnie skonfigurowanej nazwy FQDN komputera, na przykład „nowyhost.przyklad.microsoft.com”, jako nazwy podanej w kwerendzie.
  2. Na kwerendę typu SOA odpowiada autorytatywny serwer DNS strefy, która zawiera nazwę FQDN klienta.

    W przypadku standardowych stref podstawowych serwer podstawowy (właściciel), który odpowiedział na kwerendę SOA, jest stały i statyczny. Podstawowa nazwa serwera zawsze odpowiada dokładnej nazwie DNS wyświetlanej przez przechowywany w strefie rekord zasobu SOA. Jeśli jednak aktualizowana strefa jest zintegrowana z katalogiem, dowolny serwer DNS, który ładuje strefę, może odpowiedzieć i dynamicznie wstawić swoją nazwę jako nazwę serwera podstawowego strefy w odpowiedzi na kwerendę SOA.
  3. Usługa klienta DHCP próbuje skontaktować się z podstawowym serwerem DNS.

    Klient przetwarza odpowiedź na kwerendę SOA dla swojej nazwy, aby określić adres IP serwera DNS uwierzytelnionego jako serwer podstawowy do przyjęcia nazwy klienta. W razie potrzeby klient wykonuje następujące kroki, aby skontaktować się ze swoim podstawowym serwerem i dokonać jego dynamicznej aktualizacji:
    1. Klient wysyła do podstawowego serwera określonego w odpowiedzi na kwerendę SOA żądanie aktualizacji dynamicznej.

      Jeżeli aktualizacja powiedzie się, nie są podejmowane dodatkowe działania.
    2. Jeśli aktualizacja nie powiedzie się, klient wysyła kwerendę typu NS dotyczącą nazwy strefy określonej w rekordzie SOA.
    3. Po otrzymaniu odpowiedzi na tę kwerendę klient wysyła kwerendę SOA do pierwszego serwera DNS wymienionego w odpowiedzi.
    4. Po rozwiązaniu kwerendy SOA klient wysyła aktualizację dynamiczną do serwera określonego w zwróconym rekordzie SOA.

      Jeżeli aktualizacja powiedzie się, nie są podejmowane dodatkowe działania.
    5. Jeśli aktualizacja nie powiedzie się, klient powtarza przetwarzanie kwerendy SOA, wysyłając ją do kolejnego serwera DNS wymienionego w odpowiedzi.
  4. Po skontaktowaniu się z serwerem podstawowym, który może wykonać aktualizację, klient wysyła żądanie aktualizacji, a serwer je przetwarza.

    Żądanie aktualizacji zawiera instrukcje, aby dodać rekordy zasobów A (ewentualnie także PTR) dla nazwy „nowyhost.przyklad.microsoft.com” i usunąć rekordy tych samych typów dla nazwy „staryhost.przyklad.microsoft.com” („staryhost.przyklad.microsoft.com” jest nazwą, która była zarejestrowana poprzednio).

    Serwer sprawdza również, czy aktualizacje, których żąda klient, są dozwolone. W przypadku standardowych stref podstawowych aktualizacje dynamiczne nie są zabezpieczone. Próba aktualizacji podjęta przez dowolnego klienta kończy się sukcesem. W strefach zintegrowanych z usługą Active Directory aktualizacje są zabezpieczone i wykonywane przy użyciu ustawień zabezpieczeń opartych na katalogach.
Aktualizacje dynamiczne są wysyłane i odświeżane okresowo. Domyślnie komputery wysyłają aktualizację co dwadzieścia cztery godziny. Jeśli nastąpiła aktualizacja, a dane strefy nie uległy zmianie, pozostawia się aktualną wersję strefy i żadne zmiany nie są zapisywane. Aktualizacje powodujące zmianę samej strefy lub zwiększenie transferów strefy są wykonywane tylko w przypadku rzeczywistej zmiany nazw lub adresów.

Uwaga: Nazwy, które stały się nieaktywne lub nie zostały zaktualizowane w ciągu interwału aktualizacji (24 godziny), nie są usuwane ze stref DNS. Usługa DNS nie korzysta z mechanizmu zwalniania ani chowania nazw, mimo że klienci DNS próbują usuwać lub aktualizować stare rekordy nazw po zastosowaniu nowej nazwy lub po zmianie adresu.

Gdy usługa klienta DHCP rejestruje rekordy zasobów A i PTR komputera z systemem Windows Server 2003, klient używa w stosunku do rekordów hosta domyślnej wartości czasu wygaśnięcia (TTL) buforowania wynoszącej 15 minut. Ta wartość określa, jak długo inne serwery DNS i inni klienci DNS, uwzględnieni w odpowiedzi kwerendy, będą buforować rekordy komputera.

Integracja protokołu DHCP z usługą DNS

W systemie Windows Server 2003 serwer DHCP może włączyć aktualizacje dynamiczne w obszarze nazw DNS dla dowolnego klienta, który obsługuje takie aktualizacje. Klienci zakresu mogą używać protokołu aktualizacji dynamicznych DNS do aktualizacji mapowania typu nazwa-adres, gdy zmieni się adres przypisany przez protokół DHCP (informacje o mapowaniu są przechowywane w strefach na serwerze DNS). Serwer DHCP z systemem Windows Server 2003 może wykonywać aktualizacje w imieniu swoich klientów DHCP na dowolnym serwerze DNS.

Sposób współdziałania protokołu DHCP z aktualizacją DNS

Serwera DHCP można używać do rejestrowania i aktualizacji rekordów zasobów PTR i A w imieniu klientów, na których włączono obsługę DHCP. Aby to zrobić, należy skorzystać z dodatkowej opcji protokołu DHCP, opcji FQDN klienta (opcja 81). Ta opcja umożliwia klientowi wysłanie swojej nazwy FQDN do serwera DHCP w pakiecie DHCPREQUEST. Dzięki temu klient może powiadomić serwer DHCP o wymaganym poziomie usług.

Opcja FQDN zawiera następujące sześć pól:
  • Code
    Określa kod opcji (81).
  • Len
    Określa długość opcji (musi wynosić co najmniej 4).
  • Flags
    Określa typ usługi.
  • 0
    Klient będzie rejestrował rekord „A” (hosta).
  • 1
    Klient chce, aby serwer DHCP zarejestrował rekord „A” (hosta).
  • 3
    Serwer DHCP zarejestruje rekord „A” (hosta) bez względu na żądanie klienta.
  • RCODE1
    Określa kod odpowiedzi wysyłanej przez serwer do klienta.
  • RCODE2
    Określa dodatkowe rozdzielenie RCODE1.
  • Domain Name
    Określa nazwę FQDN klienta.
Jeśli klient żąda zarejestrowania rekordów zasobu na serwerze DNS, jest on odpowiedzialny za wygenerowanie dynamicznego żądania UPDATE zgodnie ze specyfikacją RFC 2136. Następnie serwer DHCP zarejestruje rekord PTR (wskaźnika).

Załóżmy, że ta opcja została wydana przez uprawnionego klienta DHCP, takiego jak komputer z systemem Windows Server 2003, Microsoft Windows 2000 lub Microsoft Windows XP z włączoną obsługą DHCP. W takim przypadku jest ona przetwarzana i interpretowana przez serwery DHCP z systemem Windows Server 2003 w celu określenia sposobu inicjacji aktualizacji w imieniu klienta.

Na przykład można użyć dowolnej z poniższych konfiguracji do przetwarzania żądań klientów:
  • Serwer DHCP rejestruje i aktualizuje informacje dotyczące klienta na skonfigurowanych serwerach DNS zgodnie z żądaniem klienta.

    To jest domyślna konfiguracja serwerów DHCP z systemem Windows Server 2003 i klientów z systemami Windows Server 2003, Windows 2000 lub Windows XP. W tym trybie każdy klient DHCP z systemem Windows może określić sposób, w jaki serwer DHCP dokonuje aktualizacji rekordów zasobów A i PTR. Jeśli to możliwe, serwer DHCP obsługuje żądanie klienta dotyczące obsługi aktualizowania informacji o nazwie i adresie IP w usłudze DNS.

    W celu skonfigurowania serwera DHCP do rejestrowania informacji o kliencie zgodnie z żądaniem klienta należy wykonać następujące kroki:
    1. Otwórz okno z właściwościami DHCP serwera lub indywidualnego zakresu.
    2. Kliknij kartę DNS, kliknij przycisk Właściwości, a następnie kliknij pole wyboru Aktualizuj dynamicznie rekordy A i PTR systemu DNS tylko na żądanie klientów DHCP, aby je zaznaczyć.
  • Serwer DHCP zawsze rejestruje i aktualizuje informacje o klientach na skonfigurowanych serwerach DNS.

    Jest to zmodyfikowana konfiguracja, obsługiwana przez serwery DHCP z systemem Windows Server 2003 i klientów DHCP z systemem Windows Server 2003, Windows 2000 lub Windows XP. W tym trybie serwer DHCP zawsze aktualizuje informacje o nazwie FQDN klienta i dzierżawionym adresie IP, niezależnie od tego, czy klient żądał wykonania aktualizacji.

    W celu skonfigurowania serwera DHCP do rejestrowania i aktualizowania informacji o kliencie na skonfigurowanych serwerach DNS należy wykonać następujące kroki:
    1. Otwórz okno z właściwościami DHCP serwera.
    2. Kliknij kartę DNS, kliknij przycisk Właściwości, kliknij pole wyboru Włącz aktualizacje dynamiczne DNS zgodnie z tymi ustawieniami, aby je zaznaczyć, a następnie kliknij opcję Zawsze aktualizuj dynamicznie rekordy A i PTR systemu DNS.
  • Serwer DHCP nigdy nie rejestruje ani nie aktualizuje informacji o klientach na skonfigurowanych serwerach DNS.

    Aby używać tej konfiguracji, należy na serwerze DHCP wyłączyć aktualizacje DHCP/DNS typu proxy. W tej konfiguracji rekordy zasobów klientów A oraz PTR nie są aktualizowane w systemie DNS w imieniu klientów DHCP.

    W celu skonfigurowania serwera, aby nigdy nie aktualizował informacji o kliencie, należy wykonać następujące kroki:
    1. Otwórz okno z właściwościami DHCP serwera DHCP lub jednego z jego zakresów na serwerze DHCP z systemem Windows Server 2003.
    2. Kliknij kartę DNS, kliknij przycisk Właściwości, a następnie usuń zaznaczenie pola wyboru Włącz aktualizacje dynamiczne DNS zgodnie z tymi ustawieniami.
    Domyślnie aktualizacje są wykonywane zawsze po zainstalowaniu nowych serwerów DHCP z systemem Windows Server 2003 i utworzeniu dla nich nowych zakresów.

Klienci DHCP systemu Windows i protokół aktualizacji dynamicznych DNS

W przypadku klientów DHCP z systemem Windows Server 2003, Windows 2000, Windows XP lub wcześniejszymi wersjami tego systemu operacyjnego współdziałanie DHCP/DNS, opisane w poprzedniej sekcji, odbywa się w różny sposób. Poniższe przykłady pokazują, jak ten proces przebiega w różnych przypadkach.

Przykład współdziałania protokołu DHCP z aktualizacją DNS w przypadku klientów DHCP z systemem Windows Server 2003, Windows 2000 i Windows XP

Klienci DHCP z systemami Windows Server 2003, Windows 2000 i Windows XP współdziałają z protokołem aktualizacji dynamicznej DNS w następujący sposób:
  1. Klient wysyła do serwera komunikat żądania protokołu DHCP (DHCPREQUEST). Żądanie zawiera opcję 81.
  2. Serwer zwraca do klienta komunikat potwierdzający protokołu DHCP (DHCPACK). Klient przydziela dzierżawę adresu IP i dołącza opcję 81. Jeśli serwer DHCP jest skonfigurowany z domyślnymi ustawieniami, opcja 81 informuje klienta, że serwer DHCP zarejestruje rekord PTR systemu DNS, a klient zarejestruje rekord A systemu DNS.
  3. Asynchronicznie klient wysyła do serwera DNS żądanie aktualizacji DNS dla własnego rekordu wyszukiwania do przodu (rekordu zasobu A hosta).
  4. Serwer DHCP rejestruje rekord PTR klienta.

Przykład współdziałania protokołu DHCP z aktualizacją DNS w przypadku klientów DHCP z wersją systemu Windows starszą niż system Windows Server 2003

Klienci DHCP z wcześniejszymi wersjami systemu Windows nie obsługują bezpośrednio procesu aktualizacji dynamicznej DNS i nie mogą bezpośrednio współdziałać z serwerem DNS. W przypadku takich klientów DHCP aktualizacje są zwykle wykonywane następująco:
  1. Klient wysyła do serwera komunikat żądania protokołu DHCP (DHCPREQUEST). To żądanie nie zawiera opcji 81.
  2. Serwer zwraca do klienta komunikat potwierdzający protokołu DHCP (DHCPACK). Klient przydziela dzierżawę adresu IP bez opcji 81.
  3. Serwer przesyła aktualizacje rekordu wyszukiwania do przodu (rekordu zasobu A hosta) klienta do serwera DNS, a ten wysyła aktualizację rekordu wyszukiwania wstecznego (rekordu zasobu PTR) klienta.

Zabezpieczone aktualizacje dynamiczne

W systemie Windows Server 2003 zabezpieczona aktualizacja DNS jest dostępna tylko w strefach zintegrowanych z usługą Active Directory. Po zintegrowaniu strefy można wykorzystywać funkcje edycji listy kontroli dostępu (ACL, Access Control List) dostępne w przystawce DNS do dodawania lub usuwania użytkowników i grup z listy kontroli dostępu określonej strefy lub rekordu zasobu.

Aby uzyskać więcej informacji, wyszukaj w Pomocy systemu Windows Server 2003 temat „Modyfikacja zabezpieczenia rekordu zasobu” lub „Modyfikacja zabezpieczenia strefy zintegrowanej z usługą katalogową”.

Domyślnie ochrona aktualizacji dynamicznej na serwerach i klientach DNS z systemem Windows Server 2003 przebiega następująco:
  1. Najpierw klienci DNS z systemem Windows Server 2003 próbują użyć niezabezpieczonych aktualizacji dynamicznych. W przypadku odmowy aktualizacji niezabezpieczonej klienci próbują zastosować aktualizacje zabezpieczone.

    Klienci korzystają również z domyślnej zasady aktualizacji, która umożliwia podjęcie próby zastąpienia zarejestrowanego wcześniej rekordu zasobu, chyba że jest to blokowane przez zabezpieczenie aktualizacji.
  2. Domyślnie po zintegrowaniu strefy z usługą Active Directory serwery DNS z systemem Windows Server 2003 zezwalają tylko na zabezpieczone aktualizacje dynamiczne.
Gdy wykorzystywany jest standardowy magazyn strefy, serwer DNS domyślnie nie zezwala na aktualizacje dynamiczne swoich stref. W przypadku stref zintegrowanych z usługą katalogową lub korzystających ze standardowego magazynu opartego na pliku można zmienić strefę, tak aby akceptowane były wszystkie aktualizacje dynamiczne. Dzięki temu można ominąć konieczność używania aktualizacji zabezpieczonych.

Ważne: Usługa serwera DHCP może wykonywać rejestrację typu proxy i aktualizować rekordy DNS starszych klientów, którzy nie obsługują aktualizacji dynamicznych. Aby uzyskać więcej informacji, w Pomocy systemu Windows Server 2003 wyszukaj temat „Używanie protokołu DHCP z serwerami DNS”.

Jeżeli w sieci jest używanych kilka serwerów DHCP z systemem Windows Server 2003, a strefy skonfigurowano tak, aby akceptowały tylko zabezpieczone aktualizacje dynamiczne, należy użyć przystawki Użytkownicy i komputery usługi Active Directory i dodać komputery pełniące funkcję serwerów DHCP do wbudowanej grupy DnsUpdateProxy. W takim wypadku wszystkie serwery DHCP będą miały uprawnienia zabezpieczeń do aktualizacji typu proxy dowolnego klienta DHCP. Aby uzyskać więcej informacji, w Pomocy systemu Windows Server 2003 wyszukaj temat „Używanie protokołu DHCP z serwerami DNS” lub „Zarządzanie grupami”.

Przestroga: Funkcje zabezpieczonych aktualizacji dynamicznych mogą być naruszone, jeżeli spełnione są następujące warunki:
  • Serwer DHCP zostanie uruchomiony na kontrolerze domeny z systemem Windows Server 2003.
  • Serwer DHCP został skonfigurowany do rejestrowania rekordów DNS w imieniu klientów.
W celu uniknięcia tego problemu należy rozmieścić serwery DHCP i kontrolery domen na oddzielnych komputerach lub tak skonfigurować serwer DHCP, aby używał dedykowanego konta użytkownika do aktualizacji dynamicznych. Aby uzyskać więcej informacji, w Pomocy systemu Windows Server 2003 wyszukaj temat „Używanie protokołu DHCP z serwerami DNS”.

Więcej informacji można znaleźć w sekcji „Uwagi dotyczące zabezpieczeń odnoszące się do używania grupy DnsUpdateProxy”.

Włączanie tylko zabezpieczonych aktualizacji dynamicznych

  1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie DNS.
  2. W obszarze DNS kliknij dwukrotnie odpowiedni serwer DNS, kliknij dwukrotnie pozycję Strefy wyszukiwania do przodu lub Strefy wyszukiwania wstecznego, a następnie kliknij odpowiednią strefę.
  3. Kliknij polecenie Właściwości.
  4. Na karcie Ogólne sprawdź, czy typ strefy to Zintegrowana z usługą Active Directory.
  5. W polu Aktualizacje dynamiczne kliknij opcję Tylko zabezpieczone.
  6. Kliknij przycisk OK.
Uwaga: Funkcja zabezpieczonych aktualizacji dynamicznych jest obsługiwana tylko w strefach zintegrowanych z usługą Active Directory. W przypadku skonfigurowania strefy innego typu należy zmienić typ strefy i zintegrować ją, zanim będzie możliwe zabezpieczenie aktualizacji DNS. Aktualizacje dynamiczne to zgodne ze specyfikacją RFC rozszerzenie standardu DNS. Proces aktualizacji serwera DNS jest zdefiniowany w specyfikacji RFC 2136 „Dynamic Updates in the Domain Name System (DNS UPDATE)”.

Korzystanie z grupy zabezpieczeń DnsUpdateProxy

Serwer DHCP z systemem Windows Server 2003 można skonfigurować tak, aby dynamicznie rejestrował rekordy zasobów A i PTR hosta w imieniu klientów DHCP. W przypadku użycia zabezpieczonych aktualizacji dynamicznych w konfiguracji z serwerami DNS z systemem Windows Server 2003 rekordy zasobów mogą się zestarzeć.

Na przykład rozpatrzmy następujący scenariusz:
  1. Serwer DHCP systemu Windows Server 2003 (DHCP1) wykonuje w imieniu jednego z klientów zabezpieczoną aktualizację dynamiczną określonej nazwy domeny DNS.
  2. Ponieważ serwer DHCP pomyślnie utworzył nazwę, staje się on jej właścicielem.
  3. Tylko serwer DHCP, który jest właścicielem nazwy klienta, może dokonać jej aktualizacji.
W pewnych sytuacjach ten scenariusz może powodować problemy. Jeśli na przykład serwer DHCP1 ulegnie awarii, to drugi, zapasowy serwer DHCP, który przejmie jego funkcje, nie będzie mógł dokonać aktualizacji nazwy klienta, ponieważ nie będzie jej właścicielem.

W następnym przykładzie załóżmy, że serwer DHCP wykona dynamiczną aktualizację starszych klientów. Jeśli ci klienci zostaną następnie uaktualnieni do systemu Windows Server 2003, Windows 2000 lub Windows XP, uaktualniony klient nie może stać się właścicielem swojego rekordu DNS ani go aktualizować.

W celu rozwiązania tego problemu do systemu Windows dołączono wbudowaną grupę zabezpieczeń DnsUpdateProxy. Jeśli wszystkie serwery DHCP zostaną dodane do grupy DnsUpdateProxy, to rekordy jednego serwera mogą być aktualizowane przez inny serwer, gdy pierwszy serwer ulegnie awarii. Ponadto żaden obiekt utworzony przez członków grupy DnsUpdateProxy nie ma zabezpieczeń. W związku z tym pierwszy użytkownik niebędący członkiem grupy DnsUpdateProxy, który zmodyfikuje zestaw rekordów skojarzonych z nazwą DNS, stanie się właścicielem tego zestawu. Po uaktualnieniu starsi klienci mogą stać się właścicielami własnych rekordów nazw na serwerze DNS. Jeśli każdy serwer DHCP, który rejestruje rekordy zasobów starszych klientów, będzie członkiem grupy DnsUpdateProxy, wiele problemów zostanie wyeliminowanych.

Dodawanie członków do grupy DnsUpdateProxy

Grupę zabezpieczeń DnsUpdateProxy należy skonfigurować za pomocą przystawki Użytkownicy i komputery usługi Active Directory.

Uwaga: Jeśli używa się kilku serwerów DHCP w celu zapewnienia odporności na uszkodzenia oraz zabezpieczonych aktualizacji dynamicznych, należy dodać każdy serwer do globalnej grupy zabezpieczeń DnsUpdateProxy.

Uwagi dotyczące zabezpieczeń odnoszące się do używania grupy DnsUpdateProxy

Nazwy domen DNS zarejestrowane przez serwer DHCP nie są bezpieczne, jeśli serwer DHCP jest członkiem grupy DnsUpdateProxy. Przykładem jest rekord zasobu hosta (A) samego serwera DHCP. Ponadto obiekty utworzone przez członków grupy DnsUpdateProxy nie mają zabezpieczeń. W związku z tym tej grupy nie można efektywnie używać w strefie zintegrowanej z usługą Active Directory, która zezwala jedynie na zabezpieczone aktualizacje dynamiczne. Rozwiązaniem jest wykonanie dodatkowych kroków zabezpieczających rekordy tworzone przez członków tej grupy.

Aby pomóc w zapewnieniu lepszej ochrony przed niezabezpieczonymi rekordami lub umożliwić członkom grupy DnsUpdateProxy rejestrowanie rekordów w strefach zezwalających jedynie na zabezpieczone aktualizacje dynamiczne, należy wykonać następujące kroki:
  1. Utwórz dedykowane konto użytkownika.
  2. Skonfiguruj serwery DHCP tak, aby wykonywały aktualizacje dynamiczne DNS z poświadczeniami konta użytkownika. (Tymi poświadczeniami są: nazwa użytkownika, hasło i domena).
Poświadczenia jednego dedykowanego konta użytkownika mogą być używane przez wiele serwerów DHCP.

Jedynym zadaniem dedykowanego konta użytkownika jest dostarczanie serwerom DHCP poświadczeń dla rejestracji dynamicznych aktualizacji w usłudze DNS. Załóżmy, że użytkownik utworzył dedykowane konto użytkownika i skonfigurował serwery DHCP z poświadczeniami konta. Każdy serwer DHCP będzie podawał te poświadczenia podczas rejestracji nazw w imieniu klientów DHCP używających aktualizacji dynamicznej DNS. Dedykowane konto użytkownika powinno być utworzone w lesie, w którym znajduje się podstawowy serwer DNS strefy, która ma być aktualizowana. Dedykowane konto użytkownika może się również znajdować w innym lesie. Jednak las, w którym jest ono zlokalizowane, musi mieć zaufanie lasu ustanowione z lasu zawierającego podstawowy serwer DNS strefy, która ma być aktualizowana.

Po zainstalowaniu usługi serwera DHCP na kontrolerze domeny można skonfigurować serwer DHCP za pomocą poświadczeń dedykowanego konta użytkownika, aby zapobiec dziedziczeniu (i być może niewłaściwemu użyciu) przez serwer uprawnień kontrolera domeny. W przypadku instalacji na kontrolerze domeny usługa serwera DHCP dziedziczy uprawnienia zabezpieczeń kontrolera domeny. Usługa ta jest również upoważniona do aktualizacji lub usuwania dowolnego rekordu DNS zarejestrowanego w zabezpieczonej strefie zintegrowanej z usługą Active Directory. (Dotyczy to także rekordów bezpiecznie zarejestrowanych przez inne komputery, na których działają systemy Windows 2000 lub Windows Server 2003, z kontrolerami domen włącznie).

Konfigurowanie aktualizacji dynamicznych DNS

Funkcja aktualizacji dynamicznej w systemie Windows Server 2003 jest zgodna ze specyfikacją RFC 2136. Aktualizacja dynamiczna pozwala klientom i serwerom rejestrować nazwy domen DNS (rekordy zasobów PTR) i mapowania adresów IP (rekordy zasobów A) na serwerze DNS zgodnym ze specyfikacją RFC 2136.

Konfigurowanie aktualizacji dynamicznych DNS dla klientów DHCP

Domyślnie klienci DHCP z systemem Windows Server 2003, Windows 2000 oraz Windows XP są tak skonfigurowani, aby żądać, żeby klient rejestrował rekord zasobu A, a serwer rekord zasobu PTR. Domyślnie nazwa używana do rejestracji w systemie DNS powstaje z połączenia nazwy komputera i podstawowego sufiksu DNS. Zmiana domyślnej nazwy wymaga otwarcia okna właściwości TCP/IP połączenia sieciowego.

Aby zmienić domyślne ustawienia aktualizacji dynamicznej klienta aktualizacji dynamicznej, należy wykonać następujące kroki:
  1. W Panelu sterowania kliknij dwukrotnie ikonę Połączenia sieciowe.
  2. Kliknij prawym przyciskiem myszy połączenie, które chcesz skonfigurować, a następnie kliknij polecenie Właściwości.
  3. Kliknij pozycję Protokół internetowy (TCP/IP), kliknij przycisk Właściwości, a następnie kliknij przycisk Zaawansowane.
  4. Kliknij karte DNS.

    Domyślnie pole wyboru Zarejestruj adresy tego połączenia w DNS jest zaznaczone, a pole wyboru Użyj sufiksu DNS tego połączenia do rejestracji w DNS nie jest zaznaczone. Ta domyślna konfiguracja sprawia, że klient żąda, aby klient rejestrował rekord zasobu A, a serwer rekord zasobu PTR.
  5. Kliknij, aby zaznaczyć pole wyboru Użyj sufiksu DNS tego połączenia do rejestracji w DNS.

    Klient zażąda później, aby serwer aktualizował rekord PTR przy użyciu nazwy FQDN. Jeśli serwer DHCP tak skonfigurowano, aby rejestrował rekordy DNS zgodnie z żądaniem klienta, klient zarejestruje następujące rekordy:
    • Rekord PTR.
    • Rekord A, w którym używana jest nazwa będąca połączeniem nazwy komputera i podstawowego sufiksu DNS.
    • Rekord A, w którym używana jest nazwa będąca połączeniem nazwy komputera i sufiksu DNS związanego z połączeniem.
  6. W celu takiego skonfigurowania klienta, żeby nie zgłaszał żądań rejestracji DNS, wyczyść pole wyboru Zarejestruj adresy tego połączenia w DNS.

Konfigurowanie aktualizacji dynamicznych DNS na wieloadresowych komputerach klienckich

Jeśli klient aktualizacji dynamicznej jest wieloadresowy, domyślnie rejestruje wszystkie swoje adresy IP w systemie DNS. (Klient jest wieloadresowy, jeśli ma kilka kart i kilka powiązanych z nimi adresów IP). Jeśli klient nie ma rejestrować wszystkich swoich adresów IP, można tak skonfigurować właściwości połączenia sieciowego, żeby był rejestrowany tylko jeden adres lub kilka adresów IP.

Aby zapobiec rejestrowaniu przez komputer wszystkich swoich adresów IP, należy wykonać następujące kroki:
  1. W Panelu sterowania kliknij dwukrotnie ikonę Połączenia sieciowe.
  2. Kliknij prawym przyciskiem myszy połączenie, które chcesz skonfigurować, a następnie kliknij polecenie Właściwości.
  3. Kliknij pozycję Protokół internetowy (TCP/IP), kliknij przycisk Właściwości, a następnie kliknij przycisk Zaawansowane.
  4. Kliknij karte DNS.
  5. Kliknij pole wyboru Zarejestruj adresy tego połączenia w DNS, aby je wyczyścić.
Można także tak skonfigurować komputer, aby rejestrował swoją nazwę domeny w DNS. Na przykład jeśli klient jest podłączony do dwóch różnych sieci, można go tak skonfigurować, aby miał inną nazwę domeny w każdej sieci.

Konfigurowanie aktualizacji dynamicznych DNS na serwerze DHCP z systemem Windows Server 2003

Aby skonfigurować aktualizację dynamiczną DNS na serwerze DHCP z systemem Windows Server 2003, należy wykonać następujące kroki:
  1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie DHCP.
  2. Kliknij prawym przyciskiem myszy odpowiedni serwer DHCP lub zakres, a następnie kliknij polecenie Właściwości.
  3. Kliknij karte DNS.
  4. Zaznacz pole wyboru Włącz aktualizacje dynamiczne DNS zgodnie z tymi ustawieniami, aby włączyć aktualizacje dynamiczne DNS dla klientów obsługujących aktualizacje dynamiczne.

    Uwaga: To pole jest zaznaczone domyślnie.
  5. Aby włączyć aktualizację dynamiczną DNS dla klientów DHCP, którzy jej nie obsługują, zaznacz pole wyboru Aktualizuj dynamicznie rekordy A i PTR systemu DNS dla klientów DHCP, którzy nie żądają aktualizacji (np. dla klientów z systemem Windows NT 4.0).
  6. Kliknij przycisk OK.

Włączanie aktualizacji dynamicznych DNS na serwerze DNS

Serwer DHCP z systemem Windows Server 2003 umożliwia aktualizację dynamiczną rekordów DNS klientów z wersją systemu Windows starszą niż Windows Server 2003, którzy nie mogą robić tego samodzielnie.

Aby włączyć wykonywanie przez serwer DHCP aktualizacji dynamicznych rekordów DNS klientów, należy wykonać następujące kroki:
  1. W konsoli zarządzania DHCP zaznacz zakres lub serwer DHCP, dla którego chcesz włączyć aktualizacje dynamiczne DNS.
  2. W menu Akcja kliknij polecenie Właściwości, a następnie kliknij kartę DNS.
  3. Kliknij, aby zaznaczyć pole wyboru Włącz aktualizacje dynamiczne DNS zgodnie z tymi ustawieniami.
  4. Aby aktualizować rekordy DNS klienta na podstawie typu żądania DHCP klienta, zaznacz opcję Aktualizuj dynamicznie rekordy A i PTR systemu DNS tylko na żądanie klientów DHCP (Ta aktualizacja nastąpi tylko po zgłoszeniu żądania przez klienta).
  5. Aby zawsze aktualizować rekordy klienta wyszukiwania do przodu i wyszukiwania wstecznego, zaznacz opcję Zawsze aktualizuj dynamicznie rekordy A i PTR systemu DNS.
  6. Zaznacz pole wyboru Odrzuć rekordy A i PTR po usunięciu dzierżawy, aby serwer DHCP usuwał rekord klienta po wygaśnięciu i nieodnowieniu dzierżawy DHCP klienta.

Wyłączanie aktualizacji dynamicznych DNS

OSTRZEŻENIE: Nieprawidłowe korzystanie z Edytora rejestru może być przyczyną poważnych problemów, które spowodują, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym użyciem Edytora rejestru będzie możliwe. Używanie Edytora rejestru odbywa się na własną odpowiedzialność.

Aktualizacje dynamiczne są domyślnie konfigurowane dla klientów z systemem Windows Server 2003. Aby wyłączyć aktualizacje dynamiczne dla wszystkich interfejsów sieciowych, należy wykonać następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
  2. Zlokalizuj, a następnie kliknij poniższy podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz DisableDynamicUpdate, a następnie dwukrotnie naciśnij klawisz ENTER.
  5. W oknie dialogowym Edytowanie wartości DWORD wpisz wartość 1 w polu Dane wartości, a następnie kliknij przycisk OK.
  6. Zamknij Edytor rejestru.
Aby wyłączyć aktualizacje dynamiczne dla konkretnego interfejsu, należy wykonać następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
  2. Zlokalizuj, a następnie kliknij poniższy podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interfejs
    Uwaga: interfejs to identyfikator urządzenia interfejsu sieciowego, dla którego chcesz wyłączyć aktualizację dynamiczną.
  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz DisableDynamicUpdate, a następnie dwukrotnie naciśnij klawisz ENTER.
  5. W oknie dialogowym Edytowanie wartości DWORD wpisz wartość 1 w polu Dane wartości, a następnie kliknij przycisk OK.
  6. Zamknij Edytor rejestru.

Właściwości

Numer ID artykułu: 816592 - Ostatnia weryfikacja: 3 grudnia 2007 - Weryfikacja: 8.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Słowa kluczowe: 
kbhowtomaster KB816592

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com