文章編號: 816592 - 上次校閱: 2007年12月3日 - 版次: 8.4

如何在 Windows Server 2003 中設定 DNS 動態更新

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
如需本文的 Microsoft Windows 2000 版本,請參閱 317590? (http://support.microsoft.com/kb/317590/ )

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您,如何在 Microsoft Windows Server 2003 中設定 DNS 更新功能。利用 DNS 更新功能,DNS 用戶端電腦便能夠登錄到 DNS 伺服器,並在每次發生變更時透過 DNS 伺服器動態更新資源記錄。使用這個功能可以減少手動管理區域記錄的需求,這對經常移動且使用「動態主機設定通訊協定」(DHCP) 取得 IP 位址的用戶端而言更是如此。

如同「要求建議」(RFC) 2136 中所述,Windows Server 2003 可為動態更新功能提供支援。就 DNS 伺服器而言,DNS 服務允許您在每部設定為載入標準主要區域或目錄整合區域的伺服器上,根據每一區域啟用或停用 DNS 更新功能。

回此頁最上方

Windows Server 2003 DNS 更新功能

DNS 服務可讓用戶端電腦在 DNS 中動態更新資源記錄。使用這個功能,可以減少手動管理區域記錄所需的時間,進而改善 DNS 管理。您可以將 DNS 更新功能與 DHCP 搭配使用,以便在電腦 IP 位址有所變更時更新資源記錄。執行 Windows Server 2003 的電腦可以傳送動態更新。

Windows Server 2003 提供下列與 DNS 動態更新通訊協定有關的功能:
  • 使用 Active Directory 目錄服務,做為網域控制站的定位服務。
  • 與 Active Directory 整合。

    您可以將 DNS 區域整合到 Active Directory 中,以提供增強的容錯和安全性。每個 Active Directory 整合區域都會在 Active Directory 網域中的所有網域控制站之間進行複寫。在這些網域控制站上執行的所有 DNS 伺服器都可以充當該區域的主要伺服器,並接受動態更新。Active Directory 會逐一複寫每個屬性,並且只傳播相關的變更。
  • 過時和清除的記錄。

    DNS 伺服器服務可以掃描並移除不再需要的記錄。啟用這個功能,即能防止 DNS 中遺留過時的記錄。
  • Active Directory 整合區域中的安全性動態更新。

    您可以為 Active Directory 整合區域設定安全性動態更新,以便只允許已獲授權的使用者變更區域或記錄。
  • 透過命令提示字元進行管理。
  • 增強的名稱解析。
  • 增強的快取和負向快取。
  • 與其他 DNS 伺服器實作交互操作。
  • 與其他網路服務整合。
  • 增量區域轉送。
回此頁最上方

Windows Server 2003 電腦更新 DNS 名稱的方式

根據預設,執行 Windows Server 2003 且以靜態方式設定 TCP/IP 的電腦,會嘗試動態登錄由其安裝的網路連線所設定及使用之 IP 位址的主機位址 (A) 和指標 (PTR) 資源記錄。所有的電腦登錄記錄預設都是以完整的電腦名稱為主。

在 Windows Server 2003 電腦中,完整的主要電腦名稱是指完整格式的網域名稱 (FQDN)。此外,完整的主要電腦名稱也是附加到電腦名稱的電腦主要 DNS 尾碼。如果要找出電腦的主要 DNS 尾碼和電腦名稱,請用滑鼠右鍵按一下 [我的電腦],按一下 [內容],然後按一下 [電腦名稱]

基於下列其中一個原因或事件,可能會傳送 DNS 更新:
  • 在已安裝之任一網路連線的 TCP/IP 屬性設定中新增、刪除或修改 IP 位址。
  • IP 位址租用在 DHCP 伺服器上變更或更新任何一個已安裝的網路連線。例如,當電腦啟動或您使用 ipconfig /renew 命令時,就會發生這個更新。
  • 您使用 ipconfig /registerdns 命令手動強制在 DNS 中更新用戶端名稱登錄。
  • 開啟電腦。
  • 成員伺服器升級為網域控制站。
當上述的其中一個事件觸發 DNS 更新時,DHCP 用戶端服務 (而非 DNS 用戶端服務) 將會傳送更新。如果 IP 位址資訊因為 DHCP 而有所變更,則會執行 DNS 中的對應更新以同步處理電腦的「名稱到位址對應」(Name-to-Address Mapping)。DHCP 用戶端服務會在系統的所有網路連線上執行這個功能,其中包括未設定為使用 DHCP 的連線。

注意
  • 使用 DHCP 取得 IP 位址的 Windows Server 2003 電腦適用的更新程序與本節所述的程序不同。如需詳細資訊,請參閱<整合 DHCP 與 DNS>一節和<Windows DHCP 用戶端和 DNS 動態更新通訊協定>一節。
  • 本節所述的更新程序假設 Windows Server 2003 安裝預設值已生效。如果將進階 TCP/IP 內容設定為使用非預設 DNS 設定,則可以調整特定名稱和更新行為。
  • 除了電腦的完整電腦名稱 (或主要名稱) 以外,您還可以設定其他連線特定的 DNS 名稱,也可以在 DNS 中登錄或更新那些名稱。
根據預設,不論電腦的角色為何,Windows XP 和 Windows Server 2003 每隔 24 小時都會重新登錄它們的 A 和 PTR 資源記錄。如果要變更這個時間,請在下列登錄子機碼中新增
DefaultRegistrationRefreshInterval
登錄機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\TcpIP\Services\Parameters
時間間隔的設定是以秒為單位。

DNS 更新運作方式的範例

在 Windows Server 2003 中,當電腦的 DNS 名稱或 IP 位址發生變更時,通常會出現動態更新要求。例如,名為 oldhost 的用戶端原先在 [系統內容] 中設定為下列名稱:
電腦名稱: oldhost
電腦的 DNS 網域名稱: example.microsoft.com
完整電腦名稱: oldhost.example.microsoft.com
在此範例中,電腦未設定連線特定的 DNS 網域名稱。如果將電腦名稱 oldhost 重新命名為 newhost,則會產生下列名稱:
電腦名稱: newhost
電腦的 DNS 網域名稱: example.microsoft.com
完整電腦名稱: newhost.example.microsoft.com
[系統內容] 中套用名稱變更之後,Windows Server 2003 會提示您重新啟動電腦。電腦重新啟動 Windows 後,DHCP 用戶端服務將會依序執行下列步驟以更新 DNS:
  1. DHCP 用戶端服務使用電腦的 DNS 網域名稱,傳送授權啟動 (SOA) 類型查詢。

    用戶端電腦會使用電腦目前設定的 FQDN (例如 newhost.example.microsoft.com) 做為這個查詢中指定的名稱。
  2. 如果區域包含用戶端 FQDN,授權 DNS 伺服器就會回應此 SOA 類型查詢。

    就標準主要區域而言,在 SOA 查詢回應中傳回的主要伺服器或擁有者是固定且靜態的。主要伺服器名稱一定會與確切的 DNS 名稱相符,因為該名稱會顯示在與區域一起儲存的 SOA 資源記錄中。不過,如果要更新的區域屬於目錄整合的區域,則任何正在載入此區域的 DNS 伺服器都可以回應此 SOA 查詢,並且在 SOA 查詢回應中動態插入它自己的名稱做為此區域的主要伺服器。
  3. DHCP 用戶端服務會嘗試連絡主要 DNS 伺服器。

    用戶端會處理對其名稱的 SOA 查詢回應,以便在 DNS 伺服器經授權成為主要伺服器以接受其名稱時,判定 DNS 伺服器的 IP 位址。如有必要,用戶端會執行下列步驟以連絡並動態更新其主要伺服器:
    1. 用戶端會傳送動態更新要求給 SOA 查詢回應中判定的主要伺服器。

      如果更新成功,則不會採取其他動作。
    2. 如果此更新失敗,則用戶端接著會對 SOA 記錄中指定的區域名稱傳送 NS 類型查詢。
    3. 用戶端收到這個查詢的回應時,會傳送 SOA 查詢至回應中列出的第一個 DNS 伺服器。
    4. 解析 SOA 查詢之後,用戶端會傳送動態更新至傳回的 SOA 記錄中所指定的伺服器。

      如果更新成功,則不會採取其他動作。
    5. 如果此更新失敗,則用戶端傳送動態更新至回應中列出的下一個 DNS 伺服器,以重複 SOA 查詢程序。
  4. 連絡到可以執行更新的主要伺服器之後,用戶端便會傳送更新要求,而伺服器會處理該要求。

    更新要求的內容包括為 newhost.example.microsoft.com 新增 A (以及可能的 PTR) 資源記錄,以及移除 oldhost.example.microsoft.com 這些相同記錄類型的指示(oldhost.example.microsoft.com 是先前登錄的名稱)。

    伺服器也會進行檢查,確定已允許用戶端要求的更新。在標準主要區域中,動態更新並不安全。任何用戶端的更新嘗試都會成功。在 Active Directory 整合區域中,更新受到安全保護,並且是使用目錄安全性設定來執行。
動態更新會定期傳送或重新整理。根據預設,電腦會每隔二十四小時傳送一次更新。如果更新未對區域資料產生變更,則區域會保持目前版本,並且不寫入任何變更。只有在名稱或位址實際發生變更時,才會進行可使實際區域變更或增量區域轉送的更新。

注意 如果這些名稱變成非使用中,或未在更新間隔 (24 小時) 內進行更新,便不會從 DNS 區域中移除。在套用新名稱或位址變更之後,雖然 DNS 用戶端的確會嘗試刪除或更新舊的名稱記錄,但 DNS 不會使用任何機制來釋放或標記名稱。

當 DHCP 用戶端服務登錄 Windows Server 2003 電腦的 A 和 PTR 資源記錄時,用戶端會對主機記錄使用預設的快取存留時間 (TTL) 值,即 15 分鐘。這個值決定其他 DNS 伺服器和用戶端對包含在查詢回應中的電腦記錄進行快取的時間長度。

回此頁最上方

整合 DHCP 與 DNS

透過 Windows Server 2003,DHCP 伺服器可以在 DNS 命名空間中,針對支援這些更新的任何一個用戶端啟用動態更新。領域用戶端可以在每次 DHCP 指派的位址有所變更時,使用 DNS 動態更新通訊協定更新自己的「主機名稱到位址對應資訊」 (這項對應資訊儲存在 DNS 伺服器的區域中)。Windows Server 2003 DHCP 伺服器可以代表 DHCP 用戶端對任何 DNS 伺服器執行更新。

DHCP/DNS 更新互動的運作方式

您可以使用 DHCP 伺服器代表 DHCP 用戶端登錄並更新 PTR 和 A 資源記錄。在執行這項操作時,您必須使用另一個 DHCP 選項,即 [用戶端 FQDN] 選項 (選項 81)。這個選項允許用戶端在 DHCPREQUEST 封包中,將自己的 FQDN 傳送至 DHCP 伺服器。這樣用戶端就能通知 DHCP 伺服器有關它所需要的服務等級。

FQDN 選項包括下列六個欄位:
  • 代碼
    指定這個選項的代碼 (81)。
  • 長度
    指定這個選項的長度(不得小於 4)。
  • 旗標
    指定服務的類型。
  • 0
    用戶端將登錄 A (主機) 記錄。
  • 1
    用戶端要求 DHCP 登錄 A (主機) 記錄。
  • 3
    無論用戶端的要求為何,DHCP 都將登錄 A (主機) 記錄。
  • RCODE1
    指定伺服器要傳送至用戶端的回應代碼。
  • RCODE2
    指定 RCODE1 的附加敘述。
  • 網域名稱
    指定用戶端的 FQDN。
如果用戶端要求向 DNS 登錄自己的資源記錄,用戶端就需負責根據每個「要求建議」(RFC) 2136 產生動態 UPDATE 要求。接著,DHCP 伺服器會登錄其 PTR (指標) 記錄。

假設這個選項是由合格的 DHCP 用戶端 (例如,執行 Windows Server 2003、Microsoft Windows 2000 或 Microsoft Windows XP 且啟用 DHCP 的電腦) 所發出。在這種情況下,Windows Server 2003 DHCP 伺服器將會處理並解譯這個選項,以決定伺服器如何代表用戶端初始化更新。

例如,您可以使用下列任何一個設定來處理用戶端要求:
  • DHCP 伺服器依照用戶端的要求,在所設定的 DNS 伺服器中登錄並更新用戶端資訊。

    這是 Windows Server 2003 DHCP 伺服器及執行 Windows Server 2003、Windows 2000 或 Windows XP 的用戶端的預設組態。在這種模式中,上述任何一個 Windows DHCP 用戶端都可以指定 DHCP 伺服器更新其主機 A 和 PTR 資源記錄的方式。可能的話,DHCP 伺服器會處理用戶端要求,在 DNS 中更新用戶端名稱和 IP 位址資訊。

    如果要將 DHCP 伺服器設定為依照用戶端的要求登錄用戶端資訊,請依照下列步驟執行:
    1. 開啟伺服器或個別領域的 DHCP 內容。
    2. 按一下 [DNS] 索引標籤,再按一下 [內容],然後按一下以選取 [只有在 DHCP 用戶端要求時才動態更新 DNS A 和 PTR 記錄] 核取方塊。
  • DHCP 伺服器永遠會在所設定的 DNS 伺服器中登錄並更新用戶端資訊。

    這是修改後的組態,Windows Server 2003 DHCP 伺服器及執行 Windows Server 2003、Windows 2000 或 Windows XP 的用戶端都支援這個組態。在這種模式中,無論用戶端是否已經要求執行它自己的更新,DHCP 伺服器永遠都會對用戶端的 FQDN 和租用 IP 位址資訊執行更新。

    如果要將 DHCP 伺服器設定為在所設定的 DNS 伺服器中登錄並更新用戶端資訊,請依照下列步驟執行:
    1. 開啟伺服器的 DHCP 內容
    2. 按一下 [DNS],按一下 [內容],按一下以選取 [依據下列設定值來啟用 DNS 動態更新] 核取方塊,然後按一下 [自動動態更新 DNS A 和 PTR 記錄]
  • DHCP 伺服器絕不會在所設定的 DNS 伺服器中登錄並更新用戶端資訊。

    如果要使用這個組態,必須將 DHCP 伺服器設定為停用執行 DHCP/DNS Proxy 更新。使用這個組態之後,將不會為 DHCP 用戶端更新 DNS 中的用戶端主機 A 或 PTR 資源記錄。

    如果要將伺服器設定為永遠不更新用戶端資訊,請依照下列步驟執行:
    1. 開啟 DHCP 伺服器的 DHCP 內容或 Windows Server 2003 DHCP 伺服器上的其中一個領域。
    2. 按一下 [DNS],再按一下 [內容],然後清除 [依據下列設定值來啟用 DNS 動態更新] 核取方塊。
    根據預設,永遠會對新安裝的 Windows Server 2003 DHCP 伺服器以及您為伺服器所建立的任何新領域執行更新。
回此頁最上方

Windows DHCP 用戶端和 DNS 動態更新通訊協定

執行 Windows Server 2003、Windows 2000、Windows XP (含) 以前版本作業系統的 DHCP 用戶端在執行 DHCP/DNS 互動時,其互動方式不一。下列範例說明這種程序在不同的情況下有何不同。

Windows Server 2003、Windows 2000 和 Windows XP 的 DHCP 用戶端的 DHCP/DNS 更新互動範例

執行 Windows Server 2003、Windows 2000 或 Windows XP DHCP 的用戶端會依照下列方式,與 DNS 動態更新通訊協定進行互動:
  1. 用戶端初始化 DHCP 要求訊息 (DHCPREQUEST) 至伺服器。此要求包含選項 81。
  2. 伺服器傳回 DHCP 認可訊息 (DHCPACK) 至用戶端。用戶端授與 IP 位址租用並包含選項 81。如果 DHCP 伺服器是以預設組態設定的,則選項 81 會告知用戶端,DHCP 伺服器將會登錄 DNS PTR 記錄,而用戶端會登錄 DNS A 記錄。
  3. 用戶端以非同步方式傳送 DNS 更新要求至 DNS 伺服器,要求更新它自己的正向對應記錄 (主機 A 資源記錄)。
  4. DHCP 伺服器登錄用戶端的 PTR 記錄。

使用 Windows Server 2003 以前 Windows 版本的 Windows DHCP 用戶端的 DHCP/DNS 更新互動範例

舊版 Windows DHCP 用戶端未直接支援 DNS 動態更新程序,並且也無法直接與 DNS 伺服器互動。這些 DHCP 用戶端通常採用下列方式處理更新:
  1. 用戶端初始化 DHCP 要求訊息 (DHCPREQUEST) 至伺服器。這個要求沒有包含選項 81。
  2. 伺服器傳回 DHCP 認可訊息 (DHCPACK) 至用戶端。用戶端授與 IP 位址租用,但不包含選項 81。
  3. 伺服器傳送用戶端正向對應記錄 (主機 A 資源記錄) 的更新給 DNS 伺服器,並且傳送用戶端 PTR 反向對應記錄的更新。
回此頁最上方

安全性動態更新

在 Windows Server 2003 中,只有整合至 Active Directory 的區域可以使用 DNS 更新安全性。將區域整合之後,您可以使用 DNS 嵌入式管理單元中的存取控制清單 (ACL) 編輯功能,針對特定區域或資源記錄在 ACL 中新增或移除使用者或群組。

如需詳細資訊,請在 Windows Server 2003 說明中搜尋「修改資源記錄的安全性」或「修改目錄整合區域的安全性」主題。

根據預設,會依照下列方式處理 Windows Server 2003 DNS 伺服器及用戶端的動態更新安全性:
  1. Windows Server 2003 DNS 用戶端首先會嘗試使用非安全性動態更新。如果非安全更新遭到拒絕,用戶端就會嘗試使用安全性更新。

    此外,用戶端還會使用可讓它們嘗試覆寫先前所登錄資源記錄的預設更新原則,除非更新安全性特意阻擋這些用戶端。
  2. 根據預設,在區域成為 Active Directory 整合區域之後,Windows Server 2003 DNS 伺服器只會啟用安全性動態更新。
根據預設,當您使用標準區域存放時,DNS 伺服器服務不會在其區域上啟用動態更新。對於目錄整合的區域或使用標準檔案存放的區域,您可以將區域變更為啟用所有動態更新。如此,即可透過使用安全性更新來接受所有更新。

重要 DHCP 伺服器服務可以為不支援動態更新的舊版用戶端執行 Proxy 登錄和 DNS 記錄更新。如需詳細資訊,請參閱 Windows Server 2003 說明中的「透過 DHCP 使用 DNS 伺服器」主題。

如果您在網路上使用多個 Windows Server 2003 DHCP 伺服器,並且將區域設定為只啟用安全性動態更新,請使用「Active Directory 使用者及電腦」嵌入式管理單元,將您的 DHCP 伺服器電腦新增至內建的 DnsUpdateProxy 群組。如此,您所有的 DHCP 伺服器都將具備安全權限,可以對任何一個 DHCP 用戶端執行 Proxy 更新。如需詳細資訊,請參閱 Windows Server 2003 說明中的「透過 DHCP 使用 DNS 伺服器」主題或「管理群組」主題。

警告 如果下列條件成立,安全性動態更新功能可能無法完全發揮作用:
  • 您在 Windows Server 2003 網域控制站上執行 DHCP 伺服器
  • 將 DHCP 伺服器設定為代表其用戶端執行 DNS 記錄登錄。
如果要避免這個問題,請將 DHCP 伺服器和網域控制站部署在不同的電腦上,或者將 DHCP 伺服器設定為使用專屬的使用者帳戶進行動態更新。如需詳細資訊,請參閱 Windows Server 2003 說明中的「透過 DHCP 使用 DNS 伺服器」主題。

如需詳細資訊,請參閱<使用 DnsUpdateProxy 群組時的安全性考量>一節。

只啟用安全性動態更新

  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [DNS]
  2. [DNS] 下,按兩下適當的 DNS 伺服器,按兩下 [正向對應區域][反向對應區域],然後用滑鼠右鍵按一下適當的區域。
  3. 按一下 [內容]
  4. [一般] 索引標籤上,確認區域類型是 [Active Directory 整合]
  5. [動態更新] 方塊中,按一下 [只有安全的]
  6. 按一下 [確定]
注意 只有 Active Directory 整合區域支援安全性動態更新功能。如果您設定不同的區域類型,請先變更區域類型並整合區域,然後再對區域進行安全的 DNS 更新。動態更新是在 DNS 標準方面符合 RFC 的延伸模組。DNS 更新程序已在 RFC 2136 的<網域名稱系統中的動態更新 (DNS UPDATE)>中定義。

回此頁最上方

使用 DnsUpdateProxy 安全性群組

您可以設定 Windows Server 2003 DHCP 伺服器,讓它代表 DHCP 用戶端動態登錄主機 A 和 PTR 資源記錄。如果您對 Windows Server 2003 DNS 伺服器使用這種組態中的安全性動態更新,則資源記錄可能會變成過時的記錄。

例如,試想下列狀況:
  1. Windows Server 2003 DHCP 伺服器 (DHCP1) 代表它的其中一個用戶端,對某個 DNS 網域名稱執行安全性動態更新。
  2. 因為 DHCP 伺服器成功建立名稱,所以成為名稱的擁有者。
  3. DHCP 伺服器成為用戶端名稱的擁有者之後,就只有這個 DHCP 伺服器才可以更新該名稱。
在某些情形下,這種狀況可能會產生問題。例如,如果 DHCP1 失敗,而第二個備份 DHCP 伺服器接著上線,則備份伺服器將無法更新用戶端名稱,因為伺服器並不是名稱的擁有者。

再舉另一個例子,假設 DHCP 伺服器對舊版用戶端執行動態更新。如果您將這些用戶端升級為 Windows Server 2003、Windows 2000 或 Windows XP,則升級的用戶端將無法取得擁有權或更新其 DNS 記錄。

為了解決這個問題,我們提供名為 DnsUpdateProxy 的內建安全性群組。如果將所有 DHCP 伺服器加入 DnsUpdateProxy 群組,那麼當第一個伺服器失敗時,其他伺服器就能更新這個伺服器的記錄。此外,DnsUpdateProxy 群組成員建立的所有物件都沒有安全保護。因此,儘管第一個修改與 DNS 名稱關聯之記錄集的使用者不是 DnsUpdateProxy 群組的成員,仍將成為該名稱的擁有者。舊版用戶端升級後,即可在 DNS 伺服器取得其名稱記錄的擁有權。如果每個登錄舊版用戶端資源記錄的 DHCP 伺服器都是 DnsUpdateProxy 群組的成員,就能避免許多問題。

新增成員至 DnsUpdateProxy 群組

使用「Active Directory 使用者及電腦」嵌入式管理單元設定 DnsUpdateProxy 安全性群組。

注意 如果您要使用多個 DHCP 伺服器以提供容錯和安全性動態更新,請將每一個伺服器新增至 DnsUpdateProxy 通用安全性群組。

使用 DnsUpdateProxy 群組時的安全性考量

如果 DHCP 伺服器是 DnsUpdateProxy 群組的成員,則由 DHCP 伺服器登錄的 DNS 網域名稱並不安全。以 DHCP 伺服器本身的主機 (A) 資源記錄來說,就是這樣的記錄。此外,DnsUpdateProxy 群組成員建立的物件也不安全。因此,您無法在只啟用安全性動態更新的 Active Directory 整合區域中有效地使用這個群組,除非您採取其他步驟,讓群組成員建立的記錄受到安全保護。

如果要避免產生非安全記錄,或啟用 DnsUpdateProxy 群組的成員,以便在只啟用安全性動態更新的區域中登錄記錄,請依照下列步驟執行:
  1. 建立專屬的使用者帳戶。
  2. 將 DHCP 伺服器設定為透過使用者帳戶認證執行 DNS 動態更新(這些認證是指使用者名稱、密碼和網域)。
一個專屬使用者帳戶的認證可由多個 DHCP 伺服器使用。

專屬使用者帳戶是一種使用者帳戶,其唯一的目的是為 DHCP 伺服器提供適用於 DNS 動態更新登錄的認證。假設您已建立專屬使用者帳戶,並透過帳戶認證設定了 DHCP 伺服器。每部 DHCP 伺服器將會在代表使用 DNS 動態更新的 DHCP 用戶端登錄名稱時,提供這些認證。我們建議在待更新之區域的主要 DNS 伺服器所在的樹系中建立專屬使用者帳戶。專屬使用者帳戶也可以位於其他樹系中。不過,帳戶所在的樹系必須具有樹系信任,這是與包含待更新區域之主要 DNS 伺服器的樹系間建立的信任關係。

在網域控制站上安裝 DHCP 伺服器服務之後,您就可以使用專屬使用者帳戶的認證,將 DHCP 伺服器設定為可防止伺服器繼承 (進而可能濫用) 網域控制站的權限。DHCP 伺服器服務安裝在網域控制站之後,就會繼承該網域控制站的安全性權限。此服務還擁有一種權限,可以更新或刪除在安全 Active Directory 整合區域中登錄的任何 DNS 記錄(這包括由其他 Windows 2000 或 Windows Server 2003 電腦以及網域控制站,透過安全保護方式登錄的記錄)。

回此頁最上方

設定 DNS 動態更新

Windows Server 2003 中的動態更新功能遵循 RFC 2136。動態更新可以讓用戶端和伺服器將 DNS 網域名稱 (PTR 資源記錄) 和 IP 位址對應 (A 資源記錄) 登錄到符合 RFC 2136 的 DNS 伺服器。

為 DHCP 用戶端設定 DNS 動態更新

Windows Server 2003、Windows 2000 和 Windows XP 的 DHCP 用戶端預設設定為要求由用戶端登錄 A 資源記錄,並且由伺服器登錄 PTR 資源記錄。根據預設,DNS 登錄中使用的名稱是串連電腦名稱和主要 DNS 尾碼所組成。如果要變更這個預設名稱,請開啟網路連線的 TCP/IP 內容。

如果要變更動態更新用戶端上的動態更新預設值,請依照下列步驟執行:
  1. [控制台] 中,按兩下 [網路連線]
  2. 用滑鼠右鍵按一下您想要設定的連線,然後按一下 [內容]
  3. 按一下 [Internet Protocol (TCP/IP)],再按一下 [內容],然後按一下 [進階]
  4. 按一下 [DNS]

    預設會選取 [在 DNS 中登錄這個連線網路的位址],而不是選取 [在 DNS 登錄中使用這個連線的 DNS 尾碼]。這個預設組態會讓用戶端要求由用戶端登錄 A 資源記錄,並且由伺服器登錄 PTR 資源記錄。
  5. 按一下以選取 [在 DNS 登錄中使用這個連線的 DNS 尾碼] 核取方塊。

    接著,用戶端會要求伺服器使用 FQDN 來更新 PTR 記錄。如果將 DHCP 伺服器設定為依照用戶端的要求登錄 DNS 記錄,則用戶端會登錄下列記錄:
    • PTR 記錄。
    • A 記錄,其名稱是由電腦名稱和主要 DNS 尾碼串連而成。
    • A 記錄,其名稱是由電腦名稱和連線特定 DNS 尾碼串連而成。
  6. 如果要將用戶端設定為不要求 DNS 登錄,請按一下以清除 [在 DNS 中登錄這個連線網路的位址] 核取方塊。

在多重主目錄用戶端電腦上設定 DNS 動態更新

如果動態更新用戶端屬於多重主目錄的用戶端,根據預設,它會向 DNS 登錄所有的 IP 位址(如果用戶端有多個網路介面卡和關聯的 IP 位址,即為多重主目錄用戶端)。如果您不希望用戶端登錄其所有 IP 位址,可以在網路連線內容中將用戶端設定為不要登錄一或多個 IP 位址。

如果要防止電腦登錄它所有的 IP 位址,請依照下列步驟執行:
  1. [控制台] 中,按兩下 [網路連線]
  2. 用滑鼠右鍵按一下您想要設定的連線,然後按一下 [內容]
  3. 按一下 [Internet Protocol (TCP/IP)],再按一下 [內容],然後按一下 [進階]
  4. 按一下 [DNS]
  5. 按一下以清除 [在 DNS 中登錄這個連線網路的位址] 核取方塊。
您也可以將電腦設定為在 DNS 中登錄其網域名稱。例如,如果您的用戶端連線至兩個不同的網路,則可以將用戶端設定為在每個網路上使用不同的網域名稱。

在 Windows Server 2003 DHCP 伺服器上設定 DNS 動態更新

如果要為 Windows Server 2003 DHCP 伺服器設定 DNS 動態更新,請依照下列步驟執行:
  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [DHCP]
  2. 用滑鼠右鍵按一下適當的 DHCP 伺服器或領域,然後按一下 [內容]
  3. 按一下 [DNS]
  4. 按一下以選取 [依據下列設定值來啟用 DNS 動態更新] 核取方塊,為支援動態更新的用戶端啟用 DNS 動態更新。

    注意 預設會選取這個核取方塊。
  5. 如果要為不支援 DNS 動態更新的 DHCP 用戶端啟用這個更新,請按一下以選取 [動態更新並沒有要求更新的 DHCP 用戶端的 DNS A 和 PTR 記錄 (例如,執行 Windows NT 4.0 的用戶端)] 核取方塊。
  6. 按一下 [確定]

啟用對 DNS 伺服器的 DNS 動態更新

在 Windows Server 2003 DHCP 伺服器中,您可以為無法自行完成動態更新 DNS 記錄的舊版 Windows Server 2003 用戶端執行這項操作。

如果要讓 DHCP 伺服器能夠動態更新其用戶端的 DNS 記錄,請依照下列步驟執行:
  1. 在 DHCP 管理主控台中,選取要為其啟用 DNS 更新的領域或 DHCP 伺服器。
  2. [執行] 功能表上,按一下 [內容],然後按一下 [DNS]
  3. 按一下以選取 [依據下列設定值來啟用 DNS 動態更新] 核取方塊。
  4. 如果要根據用戶端提出 DHCP 要求的類型更新用戶端的 DNS 記錄,請按一下以選取 [只有在 DHCP 用戶端要求時才動態更新 DNS A 和 PTR 記錄](這個更新只在用戶端提出要求時執行)。
  5. 如果要隨時更新用戶端的正向及反向對應記錄,請按一下以選取 [自動動態更新 DNS A 和 PTR 記錄]
  6. 按一下以選取 [當租用刪除後丟棄 A 和 PTR 記錄] 核取方塊,讓 DHCP 伺服器可以在用戶端的 DHCP 租用過期且未更新時刪除該用戶端的記錄。

回此頁最上方

停用 DNS 動態更新

警告:不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

預設會在 Windows Server 2003 用戶端上設定動態更新。如果要停用所有網路介面的動態更新,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]
  4. 輸入 DisableDynamicUpdate,然後按兩次 ENTER。
  5. [編輯 DWORD 值][數值資料] 方塊中,輸入 1,再按一下 [確定]
  6. 結束 [登錄編輯程式]。
如果要停用特定介面的動態更新,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
    注意 interface 是要對其停用動態更新之介面的網路介面卡裝置識別碼。
  3. [編輯] 功能表上,指向 [新增],然後按一下 [DWORD 值]
  4. 輸入 DisableDynamicUpdate,然後按兩次 ENTER。
  5. [編輯 DWORD 值][數值資料] 方塊中,輸入 1,再按一下 [確定]
  6. 結束 [登錄編輯程式]。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
回此頁最上方
關鍵字:?
kbhowtomaster KB816592
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。