Como configurar actualizações dinâmicas de DNS no Windows Server 2003

Este artigo descreve como configurar a funcionalidade de actualização DNS no Microsoft Windows Server 2003. O DNS actualizar funcionalidade permite que os computadores cliente para registar e actualizar dinamicamente os respectivos registos de recursos com um servidor de DNS sempre que ocorrem alterações de DNS. Se utilizar esta funcionalidade, pode reduzir a necessidade de administração manual de registos de zona, especialmente para clientes que frequentemente mover e utilizam o DHCP (Dynamic Host Configuration Protocol) para obter uma IP endereço.

Windows Server 2003 fornece suporte para a funcionalidade Actualização dinâmica, como descrito no RFC Request for Comments () 2136. Para os servidores de DNS, o serviço DNS permite-lhe para activar ou desactivar a funcionalidade de actualização DNS numa base por zona em cada servidor configurado para carregar um uma zona primária ou integrada no Active directory padrão.

Funcionalidades da actualização de DNS do Windows Server 2003

O serviço DNS permite que computadores actualizem dinamicamente os respectivos registos de recursos no DNS. Quando utilizar esta funcionalidade, aumentar DNS administração, reduzindo o tempo que necessita para gerir registos de zona manualmente. Pode utilizar a funcionalidade de actualização DNS com o DHCP para actualizar registos de recursos quando o endereço IP do computador é alterado. Computadores que executem o Windows Server 2003 podem enviar actualizações dinâmicas.

Windows Server 2003 fornece as seguintes funcionalidades relacionadas com o protocolo de actualização dinâmica DNS:

• Utilização do serviço de directório do Active Directory como um serviço de localizador de controladores de domínio.
• Integração com o Active Directory.
  
  Pode integrar zonas de DNS no Active Directory para fornecer tolerância a falhas melhorada e segurança. Cada zona integrada no Active Directory é replicada entre todos os controladores de domínio no domínio do Active Directory. Todos os servidores de DNS em execução nestes controladores de domínio podem actuar como servidores primários para a zona e aceitar actualizações dinâmicas. O Active Directory replica numa base por propriedade e propaga apenas as alterações relevantes.
• Envelhecimento e limpeza de registos.
  
  O Serviço de servidor de DNS pode digitalizar e remover os registos que já não são necessários. Quando activar esta funcionalidade, pode impedir desactualizados registos restantes no DNS.
• Proteger actualizações dinâmicas em zonas integradas no Active Directory.
  
  Pode configurar as zonas integradas no Active Directory para actualizações dinâmicas seguras para que apenas utilizadores autorizados podem efectuar alterações a uma zona ou para um registo.
• Administração a partir de uma linha de comandos.
• Resolução de nomes avançada.
• Colocação em cache avançada e colocação em cache negativa.
• Interoperabilidade com outras implementações do servidor de DNS.
• Integração com outros serviços de rede.
• Transferência de zona incremental.

Como os respectivos nomes DNS de actualização de computadores baseados no Windows Server 2003

Por predefinição, os computadores que executar o Windows Server 2003 e que são configurados estaticamente para TCP/IP tentam registar dinamicamente o endereço de anfitrião (A) e registos de recurso apontador (PTR) para endereços IP que são configurados e utilizados pelas respectivas ligações de rede instalado. Por predefinição, todos os registos de registo do computador baseiam-se o nome completo do computador.

Para computadores baseados no Windows Server 2003, o nome completo do computador principal é um nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name). Além disso, o nome completo do computador principal é o sufixo DNS primário do computador que é acrescentado ao nome do computador. Para determinar o sufixo DNS primário do computador e o nome do computador, clique com o botão direito do rato nos meus , clique em Propriedades e, em seguida, clique em Nome do computador .

As actualizações de DNS podem ser enviadas para qualquer uma das seguintes razões ou eventos:

• Um endereço IP é adicionado, removido ou modificado no TCP/IP configuração de propriedades para qualquer uma das ligações de rede instaladas.
• Uma concessão de endereço IP altera ou renova qualquer uma das ligações de rede instalados com o servidor DHCP. Por exemplo, esta actualização ocorre quando o computador é iniciado ou quando utiliza o ipconfig /renew comandos.
• Utilize o comando ipconfig /registerdns para forçar manualmente uma actualização do registo de nome de cliente no DNS.
• O computador está activado.
• Um servidor membro é promovido a controlador de domínio.

Quando um destes eventos acciona uma actualização DNS, o DHCP serviço de cliente, não o serviço de cliente de DNS envia actualizações. Se ocorrer uma alteração às informações de endereço IP de DHCP, as actualizações correspondentes no DNS são efectuadas para sincronizar mapeamentos nome-para-endereço para o computador. O cliente DHCP serviço efectua esta função para todas as ligações de rede no sistema. Isto inclui ligações que não estão configuradas para utilizar o DHCP.

notas

• O processo de actualização para computadores baseados no Windows Server 2003 que utilizam o DHCP para obter o respectivo endereço IP é diferente de processo descrito nesta secção. Para mais informações, consulte a secção "Integração de DHCP com DNS" e "Windows DHCP protocolo de actualização de clientes e dinâmicas DNS" secção.
• O processo de actualização descrito nesta secção assume que as predefinições de instalação do Windows Server 2003 são em vigor. Nomes específicos e a actualização é ajustável comportamento quando as propriedades avançadas de TCP/IP configuradas para utilizar as definições do DNS não predefinidas.
• Para além do nome completo do computador ou o nome principal, do computador, pode configurar os nomes do DNS adicionais específicos da ligação e, opcionalmente, registar ou actualizá-las no DNS.

Por predefinição, Windows XP e Windows Server 2003 registar os respectivos registos de recursos A e PTR cada 24 horas independentemente da função do computador. Para alterar este período de tempo, adicione a entrada de registo DefaultRegistrationRefreshInterval na seguinte subchave de registo: O intervalo é definido em segundos.

Um exemplo de como o DNS actualiza o trabalho

Para o Windows Server 2003, actualizações dinâmicas são normalmente solicitadas quando um nome de DNS ou um endereço IP é alterado no computador. Por exemplo, um cliente com o nome "anfitriãoantigo" é primeiro configurado nas propriedades do sistema para que os seguintes nomes: Neste exemplo, não nomes de domínio DNS específicos de ligação são configurados para o computador. Se mudar o nome do computador a partir de "anfitriãoantigo" para "newhost", ocorrem as seguintes alterações de nome: Depois de aplica a alteração do nome nas Propriedades do sistema , Windows Server 2003 pedir para reiniciar o computador. Depois do computador reiniciar Windows, o cliente DHCP serviço efectua a seguinte sequência para actualizar o DNS:

1. O serviço de cliente DHCP envia um início de autoridade (SOA, Start of Authority) tipo de consulta utilizando o nome de domínio DNS do computador.
   
   O computador cliente utiliza o FQDN actualmente configurado do computador, tal como "anfitriãonovo.exemplo.Microsoft.com", como o nome especificado nesta consulta.
2. O servidor DNS autoritário para a zona que contém o cliente FQDN, Fully Qualified Domain Name responde à consulta de tipo SOA.
   
   Para zonas primárias padrão, o servidor primário ou o proprietário, que é devolvido na resposta à consulta SOA está fixo e estático. O nome de servidor primário corresponde sempre ao nome DNS exacto tal como esse nome é apresentado no registo de recurso SOA armazenado na zona. No entanto, se a zona que está a ser actualizada estiver integrada no Active directory, qualquer servidor DNS que está a carregar a zona poderá responder e inserir dinamicamente o próprio nome como o servidor primário da zona na resposta à consulta SOA.
3. O serviço de cliente DHCP tenta contactar o principal de DNS servidor.
   
   O cliente processa a resposta à consulta SOA para o respectivo nome determinar o endereço IP do servidor DNS autorizado como servidor primário para aceitar o nome. Se for necessário, o cliente efectua os passos seguintes para contactar e actualizar dinamicamente o respectivo servidor principal:
   1. O cliente envia um pedido de actualização dinâmica para o servidor principal determinado na resposta à consulta SOA.
      
      Se a actualização tiver êxito, não é assumida nenhuma acção adicional.
   2. Se esta actualização falhar, o cliente seguinte envia um tipo NS consulta o nome da zona que é especificado no registo SOA.
   3. Quando o cliente recebe uma resposta a esta consulta, o cliente envia uma consulta SOA para o primeiro servidor de DNS listado na resposta.
   4. Depois de resolver a consulta SOA, Start of Authority, o cliente envia uma actualização dinâmica para o servidor especificado no SOA devolvida registo.
      
      Se a actualização tiver êxito, não é assumida nenhuma acção adicional.
   5. Se esta actualização falhar, o cliente repetirá o processo de consulta SOA enviando para o seguinte servidor de DNS listado na resposta.
4. Depois do servidor principal que pode efectuar a actualização, for contactado, o cliente envia o pedido de actualização e o servidor processa-lo.
   
   O conteúdo da actualização para o pedido incluir instruções para adicionar registos de recursos A e, possivelmente PTR, para "anfitriãonovo.exemplo.Microsoft.com" e para remover estes mesmos tipos de registos para "anfitriãoantigo.exemplo.Microsoft.com" de. ("anfitriãoantigo.exemplo.Microsoft.com" é o nome que foi registado anteriormente).
   
   O servidor verifica também para garantir que são permitidas actualizações para o pedido do cliente. Para zonas primárias padrão, as actualizações dinâmicas não são seguras. Qualquer tentativa de cliente para actualizar tem êxito. Para zonas integradas no Active Directory, as actualizações são seguras e efectuada utilizando as definições de segurança baseadas no directório.

Actualizações dinâmicas são enviadas ou actualizadas periodicamente. Por predefinição, os computadores enviam uma actualização a cada vinte quatro horas. Se a actualização faz com que não alterações aos dados de zona, a zona permanece na sua versão actual e não são gravadas alterações. As actualizações que provocar alterações de zona real ou aumentado zona transferências ocorrem apenas se os nomes ou endereços realmente alterar.

Nota Os nomes não são removidos de zonas DNS se tornam inactivos ou se estes não forem actualizados durante o intervalo de actualização de vinte e quatro horas. DNS não utiliza um mecanismo para libertar ou aos nomes de tombstone, apesar dos clientes de DNS tentam eliminar ou actualizar registos de nomes antigos quando um novo nome ou endereço se aplica

Quando o serviço de cliente DHCP regista os registos de recursos A e PTR para um computador baseado no Windows Server 2003, o cliente utiliza um colocação em cache tempo de vida valor de (tempo restante TTL) de 15 minutos para registos de anfitrião predefinido. Este valor determina quanto tempo os outros servidores de DNS e clientes colocam em cache registos de um computador quando são incluídas na resposta a uma consulta os.

Integração do DHCP com o DNS

Com o Windows Server 2003, um servidor DHCP pode activar actualizações dinâmicas no espaço de nomes de DNS para qualquer um dos clientes que suportem estas actualizações. Os clientes de âmbito podem utilizar o protocolo de actualização dinâmica DNS para actualizar as informações de mapeamento nome-para-endereço do anfitrião sempre que ocorram alterações ao endereço atribuído por DHCP. (Estas informações de mapeamento são armazenadas nas zonas no DNS servidor.) Um servidor DHCP baseado no Windows Server 2003 pode efectuar actualizações em nome dos clientes DHCP para qualquer servidor de DNS.

Como actualização DHCP/DNS interacção funciona

Pode utilizar o servidor DHCP para registar e actualizar registos de recursos em nome dos clientes de DHCP do servidor e o PTR. Quando efectuar este procedimento, tem de utilizar uma opção DHCP adicional, a opção Cliente FQDN, Fully Qualified Domain Name (opção 81). Esta opção permite ao cliente enviar o respectivo FQDN para o servidor DHCP no pacote DHCPREQUEST. Isto permite que o cliente para notificar o servidor DHCP como para o nível de serviço que é necessário.

A Opção de FQDN, Fully Qualified Domain Name inclui os seguintes seis campos:

• código
  Especifica o indicativo para esta opção (81).
• Len
  Especifica o comprimento desta opção. (Tem de ser um mínimo de 4.)
• sinalizadores
  Especifica o tipo de serviço.
• 0
  Cliente irá registar o registo "A" (anfitrião).
• 1
  Quer de cliente DHCP para registar o "A" (anfitrião) registo.
• 3
  DHCP irá registar o de registo "A" (anfitrião) independentemente do pedido do cliente.
• RCODE1
  Especifica que um código de resposta do servidor está a enviar ao cliente.
• RCODE2
  Especifica um delineation adicional de RCODE1.
• nome do domínio
  Especifica o FQDN do cliente.

Se o cliente pedir para registar os registos de recursos com o DNS, o cliente é responsável por gerar o pedido UPDATE dinâmico por RFC Request for Comments () 2136. Em seguida, o servidor DHCP regista os respectivo PTR (apontador) registo.

Suponha que esta opção é emitida por um cliente DHCP qualificado, como um computador com o DHCP activado com o Windows Server 2003, Microsoft Windows 2000 ou Microsoft Windows XP. Neste caso, a opção é processada e interpretada por servidores DHCP baseado no Windows Server 2003 para determinar como o servidor inicia actualizações em nome do cliente.

Por exemplo, pode utilizar qualquer uma das seguintes configurações para processar pedidos de clientes:

• O servidor DHCP regista e actualiza informações de cliente com os servidores DNS configurados acordo com ao pedido do cliente.
  
  Esta é a configuração predefinida para servidores DHCP baseado no Windows Server 2003 e clientes que executem o Windows Server 2003, Windows 2000 ou Windows XP. Neste modo, qualquer um destes clientes DHCP do Windows pode especificar a forma que o DHCP servidor actualiza os respectivos registos de recurso anfitrião A e PTR. Se for possível, o DHCP informações no DNS de endereço de servidor processa o pedido de cliente de processamento actualiza para o respectivo nome e IP.
  
  Para configurar o servidor DHCP para registar informações de cliente de acordo com o pedido do cliente, siga estes passos:
  1. Abra as propriedades DHCP para o servidor ou âmbito individual.
  2. Clique no separador DNS , clique em Propriedades e, em seguida, caixa de verificação clique para seleccionar a actualizar dinamicamente os registos PTR apenas se pedido pelos clientes DHCP e DNS .
• Sempre o servidor DHCP regista e actualiza informações de cliente com os servidores DNS configurados.
  
  Esta é uma configuração modificada suportada para servidores DHCP baseado no Windows Server 2003 e clientes que executem o Windows Server 2003, Windows 2000 ou Windows XP. Neste modo, o servidor DHCP sempre efectua as actualizações do FQDN do cliente e dedicada informações de endereço IP independentemente se o cliente pediu para efectuar as suas próprias actualizações.
  
  Para configurar um servidor DHCP para registar e actualizar informações do cliente com o DNS configurado servidores, siga estes passos:
  1. Abra as propriedades para o servidor do DHCP
  2. Clique em DNS , clique em Propriedades , clique para seleccionar a caixa de verificação Activar actualizações dinâmicas de DNS acordo com as definições abaixo e, em seguida, clique em Actualizar sempre dinamicamente A e PTR .
• O servidor DHCP nunca regista e actualiza informações de cliente com os servidores DNS configurados.
  
  Para utilizar esta configuração, o servidor DHCP tem de ser configurado para desactivar o desempenho das actualizações com proxy DHCP/DNS. Quando utilizar esta configuração, nenhum cliente anfitrião A ou PTR registos de recursos são actualizados no DNS para clientes DHCP.
  
  Para configurar o servidor nunca actualizar informações do cliente, siga estes passos:
  1. Abra as propriedades DHCP para o servidor DHCP ou dos respectivos âmbitos no servidor DHCP baseado no Windows Server 2003.
  2. Clique em DNS , clique em Propriedades e desmarque as Activar actualizações dinâmicas de DNS acordo com as definições abaixo de caixa de verificação.
  Por predefinição, as actualizações são sempre efectuadas para servidores DHCP baseado no Windows Server 2003 e quaisquer novos âmbitos criados para os mesmos recentemente instalados.

Os clientes de DHCP do Windows e o protocolo de actualização dinâmica DNS

Clientes DHCP que estão a executar o Windows Server 2003, Windows 2000, Windows XP ou sistemas operativos anteriores podem interagir diferente quando estes efectuam as interacções DHCP/DNS. Os exemplos seguintes mostram como este processo varia em casos diferentes.

Um exemplo de uma interacção de actualização DHCP/DNS para clientes DHCP baseado no Windows Server 2003, baseado no Windows 2000 e baseado no Windows XP

Os clientes que executem o Windows Server 2003, Windows 2000 ou Windows XP DHCP interagem com o protocolo de actualização dinâmica DNS do seguinte modo:

1. O cliente envia uma mensagem de pedido DHCP (DHCPREQUEST) para o servidor. O pedido inclui a opção 81.
2. O servidor devolve uma mensagem de confirmação DHCP (DHCPACK) ao cliente. O cliente concede uma concessão de endereço IP e inclui a opção 81. Se o servidor DHCP é configurado com as predefinições, opção 81 indicará o cliente que o servidor DHCP irá registar o registo PTR de DNS e que o cliente irá registar o registo de DNS.
3. Modo assíncrono, o cliente envia um pedido de actualização DNS ao servidor de DNS para seu próprio registo de forward lookup, um registo de recurso do anfitrião.
   
4. O servidor DHCP regista o registo PTR do cliente.

Um exemplo de uma interacção de actualização DHCP/DNS para clientes DHCP baseados no Windows que utiliza uma versão do Windows anterior ao Windows Server 2003

Versões anteriores do DHCP baseado no Windows clientes não suporte o DNS dinâmico actualizar directamente o processo e directamente não é possível interagirem com o DNS servidor. Para estes clientes DHCP, actualizações, normalmente, são processadas da seguinte forma:

1. O cliente envia uma mensagem de pedido DHCP (DHCPREQUEST) para o servidor. Este pedido não inclui a opção 81.
2. O servidor devolve uma mensagem de confirmação DHCP (DHCPACK) ao cliente. O cliente concede uma concessão de endereço IP, sem a opção 81.
3. O servidor envia actualizações para o servidor de DNS para de forward lookup registo o cliente, o anfitrião registo de recursos e envia uma actualização para de reverse lookup PTR o cliente.

Actualizações dinâmicas seguras

Para Windows Server 2003, a segurança da actualização DNS está disponível apenas para zonas integradas no Active Directory. Depois de integrar uma zona, pode utilizar a lista de controlo de acesso (ACL) funcionalidades disponíveis no snap-in do DNS para adicionar ou remover utilizadores ou grupos da ACL para uma zona específica ou para um registo de recurso de edição.

Para mais informações, procure o tópico "para modificar a segurança de um registo de recurso" ou o tópico "para modificar a segurança para uma zona integrada no directório" na ajuda do Windows Server 2003.

Por predefinição, a segurança da actualização dinâmica para servidores de DNS do Windows Server 2003 e clientes é processada da seguinte forma:

1. Os clientes DNS baseado no Server 2003 Windows tentam utilizar as actualizações dinâmicas não seguras pela primeira vez. Se a actualização não segura é recusada, os clientes tentam utilizar uma actualização de segurança.
   
   Além disso, os clientes utilizam uma política de actualização predefinida que permite a tentar substituir um registo de recursos registado anteriormente, a menos que sejam bloqueados especificamente pela segurança da actualização.
2. Por predefinição, depois de uma zona passa a ser integrada no Active Directory, servidores de DNS baseado no Windows Server 2003 activar apenas actualizações dinâmicas seguras.

Por predefinição, quando utiliza o armazenamento de zona padrão, o servidor de DNS serviço não permite actualizações dinâmicas nas respectivas zonas. Para zonas que são integradas no directório ou utilizam o armazenamento baseado em ficheiros padrão, é possível alterar a zona para activar todas as actualizações dinâmicas. Isto permite que todas as actualizações sejam aceites, passando a utilização de actualizações seguras.

importante O serviço do servidor DHCP pode efectuar registos da proxy e actualizações de registos de DNS para clientes legacy que não suportam actualizações dinâmicas. Para mais informações, consulte o "utilizar DNS servidores com o DHCP" tópico na ajuda do Windows Server 2003.

Se utilizar vários servidores DHCP baseado no Windows Server 2003 na rede e se configurar as zonas para permitir actualizações dinâmicas seguras só, utilize o snap-in computadores e utilizadores do Active Directory para adicionar os computadores de servidor DHCP ao grupo DnsUpdateProxy incorporado. Quando o fizer, todos os servidores de DHCP tem os direitos seguros para efectuar actualizações proxy para qualquer um dos clientes DHCP. Para mais informações, consulte o "utilizar DNS servidores com o DHCP" tópico ou o tópico "Gerir grupos" de mensagens em fila na ajuda do Windows Server 2003.

atenção A funcionalidade de actualizações dinâmicas seguras pode ficar comprometida se verifiquem as seguintes condições:

• Executar um servidor DHCP num controlador de domínio baseado no Windows Server 2003
• O servidor DHCP está configurado para efectuar o registo de registos de DNS em nome dos clientes.

Para evitar este problema, implementar servidores DHCP e controladores de domínio em computadores separados ou configurar o servidor DHCP para utilizar uma conta de utilizador dedicada para actualizações dinâmicas. Para mais informações, consulte o "utilizar DNS servidores com o DHCP" tópico na ajuda do Windows Server 2003.

Para mais informações, consulte o "segurança considerações quando utiliza o grupo DnsUpdateProxy" secção.

Permitir apenas actualizações dinâmicas seguras

1. Clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em DNS .
2. Em DNS , faça duplo clique sobre o servidor de DNS aplicável, clique duas vezes Zonas de pesquisa directa ou Zonas de pesquisa inversa e clique com o botão direito do rato na zona aplicável.
3. Clique em Propriedades .
4. No separador Geral , verifique se o tipo de zona é integrada no Active Directory .
5. Na caixa actualizações dinâmicas , clique em apenas seguro .
6. Clique em OK .

Nota A funcionalidade Actualização dinâmica segura é apenas suportada para zonas integradas no Active Directory. Se configurar um tipo de zona diferente, altere o tipo de zona e, em seguida, integrar a zona antes de proteger para actualizações de DNS. Actualização dinâmica é uma extensão compatível com RFC para o padrão DNS. O processo de actualização DNS está definido no RFC 2136, "Dynamic Updates in the Domain Name System (DNS UPDATE)".

Utilize o grupo de segurança DnsUpdateProxy

Pode configurar um servidor DHCP baseado no Windows Server 2003, de modo que é dinamicamente regista registos de recursos de A e PTR anfitrião em nome do DHCP clientes. Se utilizar actualizações dinâmicas seguras esta configuração com servidores de DNS baseado no Windows Server 2003, registos de recursos podem tornar-se obsoletos.

Por exemplo, considere o seguinte cenário:

1. Um servidor de DHCP do Windows Server 2003 (DHCP1) efectua uma actualização dinâmica segura em nome de um dos seus clientes para um nome de domínio DNS específico.
2. Devido ao facto do servidor DHCP criado com êxito o nome, torna-se o proprietário do nome.
3. Depois do servidor DHCP se tornar o proprietário do nome do cliente, apenas esse servidor DHCP pode actualizar o nome.

Em algumas circunstâncias, este cenário pode causar problemas. Por exemplo, se o DHCP1 falhar e um segundo servidor DHCP de cópia de segurança ficar online, o servidor de cópia de segurança não é possível actualizar o nome do cliente porque o servidor não é o proprietário do nome.

Outro exemplo, suponha que o servidor DHCP efectua actualizações dinâmicas para clientes legacy. Se actualizar os clientes para o Windows Server 2003, Windows 2000 ou Windows XP, o cliente actualizado não é possível obter propriedade ou actualizar os respectivos registos de DNS.

Para resolver este problema, é fornecido um grupo de segurança incorporado chamado DnsUpdateProxy. Se todos os servidores DHCP forem adicionados ao grupo DnsUpdateProxy, os registos de um servidor podem ser actualizados por outro servidor se o primeiro servidor falhar. Além disso, todos os objectos criados pelos membros do grupo DnsUpdateProxy não estão protegidos. Assim, o primeiro utilizador que não é um membro do grupo DnsUpdateProxy e que modifica o conjunto de registos que está associado um nome de DNS torna-se respectivo proprietário. Quando os clientes legados são actualizados, podem obter propriedade dos respectivos registos de nome no servidor de DNS. Se todos os servidores DHCP que regista registos de recursos para clientes legacy forem um membro do grupo DnsUpdateProxy, muitos problemas são eliminados.

Adicionar membros ao grupo DnsUpdateProxy

Utilize o snap-in computadores e utilizadores do Active Directory para configurar o grupo de segurança DnsUpdateProxy.

Nota Se estiver a utilizar vários servidores DHCP para tolerância a falhas e proteger actualizações dinâmicas, adicione cada servidor ao grupo de segurança global DnsUpdateProxy.

Considerações de segurança quando utiliza o grupo DnsUpdateProxy

Nomes de domínio DNS que são registados pelo servidor DHCP não são seguros se o servidor DHCP for um membro do grupo DnsUpdateProxy. O registo de recurso anfitrião (A) para o próprio servidor DHCP é um exemplo desses registos. Além disso, os objectos criados pelos membros do DnsUpdateProxy grupo não são seguras. Por este motivo, pode utilizar este grupo eficazmente numa zona integrada no Active Directory que permite apenas actualizações dinâmicas seguras a menos que tomar medidas adicionais para activar os registos que são criados por membros do grupo a ser protegido.

Para ajudar a proteger contra registos não seguros ou para activar os membros do grupo DnsUpdateProxy registar registos nas zonas que permitir apenas actualizações dinâmicas seguras, siga estes passos:

1. Crie uma conta de utilizador dedicada.
2. Configure servidores DHCP para efectuar actualizações dinâmicas DNS com as credenciais de conta de utilizador. (Estas credenciais são o nome de utilizador, a palavra-passe e o domínio.)

As credenciais de utilizador dedicada uma conta podem ser utilizadas por vários servidores DHCP.

Uma conta de utilizador dedicada é uma conta de utilizador cujo único objectivo deve fornecer servidores DHCP com credenciais para registos de actualização dinâmica do DNS. Suponha que tiver criado uma conta de utilizador dedicada e configurado servidores DHCP com as credenciais da conta. Cada DHCP servidor fornecerá estas credenciais quando regista nomes no nome do DHCP clientes que utilizam a actualização dinâmica do DNS. A conta de utilizador dedicada deve ser criada na floresta onde reside o servidor DNS primário para a zona a ser actualizada. A conta de utilizador dedicada também pode estar localizada noutra floresta. No entanto, da floresta que reside a conta tem de ter uma fidedignidade de floresta estabelecida com a floresta que contém o servidor DNS primário para a zona a ser actualizada.

Quando o serviço do servidor DHCP é instalado num controlador de domínio, pode configurar o servidor DHCP utilizando as credenciais da conta de utilizador dedicada para impedir que o servidor de herdar e, possivelmente, utilizar indevidamente, as capacidades do controlador de domínio. Quando o serviço do servidor DHCP é instalado num controlador de domínio, esta herda as permissões de segurança do controlador de domínio. O serviço também tem autoridade para actualizar ou eliminar qualquer registo DNS registado numa zona segura integrada no Active Directory. (Isto inclui os registos que foram registados com segurança por outros computadores baseados no Windows Server 2003 ou com o Windows 2000 e controladores de domínio).

Configurar actualizações dinâmicas de DNS

A funcionalidade de actualização dinâmica está incluída no Windows Server 2003 segue RFC 2136. Actualização dinâmica permite a clientes e servidores registar nomes de domínio DNS (registos de recursos PTR) e mapeamentos de endereço IP (registos de recursos) para um servidor de DNS 2136 compatível com RFC.

Configurar actualizações dinâmicas de DNS para clientes DHCP

Por predefinição, os clientes do DHCP baseado no Windows Server 2003, baseado no Windows 2000 e baseado no Windows XP estão configurados para pedir que o registo de recurso de registo A do cliente e que o registo do servidor o recurso PTR gravar. Por predefinição, o nome utilizado num registo de DNS é uma concatenação do nome de computador e o sufixo DNS primário. Para alterar este nome predefinido, abra as propriedades de TCP/IP da ligação à rede.

Para alterar as predefinições de actualização dinâmica do cliente de actualização dinâmica, siga estes passos:

1. No Painel de controlo , faça duplo clique em Ligações de rede .
2. Clique com o botão direito do rato a ligação que pretende configurar e, em seguida, clique em Propriedades .
3. Clique em TCP/IP (protocolo Internet) , clique em Propriedades e, em seguida, clique em Avançadas .
4. Clique em DNS .
   
   Por predefinição, registar o endereço desta ligação no DNS estiver seleccionada e utilizar o sufixo de DNS desta ligação no registo DNS não está seleccionada. Esta configuração predefinida faz com que o cliente para pedir que o registo de recursos de registo de cliente e o registo do servidor o registo de recurso PTR.
5. Clique para seleccionar a caixa de verificação utilizar sufixo de DNS desta ligação no registo DNS .
   
   O cliente, em seguida, irá pedir que o servidor de actualizar o registo PTR utilizando o FQDN, Fully Qualified Domain Name. Se o DHCP servidor estiver configurado para registar registos DNS acordo com a pedido do cliente, o cliente regista os seguintes registos:
   • O registo PTR.
   • O registo que utiliza o nome que é uma concatenação do nome de computador e o sufixo DNS primário.
   • O registo que utiliza o nome que é uma concatenação do nome de computador e o sufixo DNS específico da ligação.
6. Para configurar o cliente efectuar não pedidos para o DNS registo, clique para desmarcar a registar o endereço desta ligação no DNS caixa de verificação.

Configurar actualizações dinâmicas de DNS em computadores de cliente multihomed

Se um cliente de actualização dinâmica multihomed, regista todos os respectivos endereços IP com o DNS por predefinição. (Um cliente é multihomed se tiver mais do que um adaptador e um endereço IP associado.)Se não pretende que o cliente para registar todos os respectivo IP endereços, pode configurar que não registar um ou endereços IP mais nas propriedades de ligação de rede.

Para impedir que o computador registar todos os respectivos endereços IP, siga estes passos:

1. No Painel de controlo , faça duplo clique em Ligações de rede .
2. Clique com o botão direito do rato a ligação que pretende configurar e, em seguida, clique em Propriedades .
3. Clique em TCP/IP (protocolo Internet) , clique em Propriedades e, em seguida, clique em Avançadas .
4. Clique em DNS .
5. Clique para desmarcar a caixa de verificação registar o endereço desta ligação no DNS .

Também pode configurar o computador para registar o respectivo nome de domínio no DNS. Por exemplo, se tiver um cliente que está ligado a duas redes diferentes, pode configurar o cliente tem um nome de domínio diferente em cada rede.

Configurar actualizações dinâmicas de DNS num servidor DHCP baseado no Windows Server 2003

Para configurar a actualização dinâmica DNS para um DHCP baseado no Windows Server 2003 servidor, siga estes passos:

1. Clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em DHCP .
2. Clique com o botão direito do rato no servidor DHCP adequado ou âmbito e, em seguida, clique em Propriedades .
3. Clique em DNS .
4. Clique para seleccionar a caixa de verificação Activar actualizações dinâmicas de DNS acordo com as definições abaixo para activar a actualização dinâmica DNS para clientes que suportam a actualização dinâmica.
   
   Nota Por predefinição, esta caixa de verificação está seleccionada.
5. Para activar a actualização dinâmica do DNS para clientes DHCP que não suportam, clique para seleccionar a caixa de verificação actualizar dinamicamente os registos PTR para clientes DHCP que não pedem actualizações (por exemplo, clientes com o Windows NT 4.0) e de DNS .
6. Clique em OK .

Activar actualizações dinâmicas do DNS para um servidor de DNS

Num servidor DHCP baseado no Windows Server 2003, pode actualizar dinamicamente os registos de versões anteriores ao Windows clientes baseados no Server 2003 que não é possível fazê-lo para si próprios de DNS.

Para activar um servidor DHCP actualizar dinamicamente os registos de DNS dos clientes, siga estes passos:

1. Na consola de gestão DHCP, seleccione o âmbito ou o DHCP actualizações de servidor que pretende activar o DNS para o.
2. No menu acção , clique em Propriedades e, em seguida, clique em DNS .
3. Clique para seleccionar a caixa de verificação Activar actualizações dinâmicas de DNS acordo com as definições abaixo .
4. Para actualizar registos de um cliente de DNS com base no tipo de DHCP pedido que o cliente faz, clique para seleccionar dinamicamente actualizar A e PTR apenas se pedido pelo DHCP a clientes . (Esta actualização só ocorrerá apenas quando o cliente faz um pedido.)
5. Para actualizar sempre os registos de forward e reverse lookup do cliente, clique para seleccionar Actualizar sempre dinamicamente o DNS registos A e PTR .
6. Clique para seleccionar a caixa de verificação Eliminar A e PTR registos quando concessão é eliminada para o servidor DHCP a eliminar o registo para um cliente quando a concessão DHCP expira e não for renovada.

Desactivar actualizações dinâmicas de DNS

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Por predefinição, as actualizações dinâmicas são configuradas em clientes baseados no Windows Server 2003. Para desactivar as actualizações dinâmicas para todas as interfaces de rede, siga estes passos:

1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
2. Localize e, em seguida, clique na seguinte subchave do registo:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. No menu Editar , aponte para Novo e, em seguida, clique em valor DWORD .
4. Escreva DisableDynamicUpdate e, em seguida, prima ENTER duas vezes.
5. Em Editar valor DWORD , escreva 1 na caixa dados do valor e, em seguida, clique em OK .
6. Saia do Editor de registo.

Para desactivar as actualizações dinâmicas para uma interface específica, siga estes passos:

1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
2. Localize e, em seguida, clique na seguinte subchave do registo:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ interface
   Nota interface é o dispositivo ID da placa de rede para a interface que pretende desactivar dinâmico actualização para o.
3. No menu Editar , aponte para Novo e, em seguida, clique em valor DWORD .
4. Escreva DisableDynamicUpdate e, em seguida, prima ENTER duas vezes.
5. Em Editar valor DWORD , escreva 1 na caixa dados do valor e, em seguida, clique em OK .
6. Saia do Editor de registo.