Integrieren von Windows DNS in einen vorhandenen DNS-Namespace

In diesem Artikel wird beschrieben, wie Sie Windows DNS in ein organization integrieren, in dem bereits ein DNS-Namespace implementiert ist, in dem der DNS-Server, der für die Zone mit dem Namen der Active Directory-Domäne autoritativ ist, RFC 2136 (dynamische Updates) nicht unterstützt.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 255913

Zusammenfassung

Ein Feature von Windows Domain Name System (DNS) ist die Unterstützung dynamischer Hostupdates (dokumentiert in RFC 2136). Um dieses Feature zu nutzen, kann Windows DNS in Umgebungen bereitgestellt werden, in denen keine anderen DNS-Server vorhanden sind, sowie in Umgebungen, in denen bereits nicht dynamische DNS-Server implementiert sind (z. B. BIND 4.9.7 und früher usw.). Wenn Sie Windows DNS in einer Umgebung bereitstellen, in der bereits BIND-Server implementiert sind, haben Sie mehrere Integrationsoptionen:

• Migrieren sie Zonen von nicht dynamischen autoritativen DNS-Servern zu Servern, auf denen Windows DNS ausgeführt wird.
• Delegieren untergeordneter DNS-Domänen unter einer übergeordneten DNS-Domäne. Delegieren Sie für Active Directory-Domänennamen, die nicht denselben Namen wie der Stamm einer Zone haben, die Unterdomäne an Windows DNS. Wenn der Name der Active Directory-Domäne beispielsweise lautet dev.reskit.com und die Zone, die diesen Namen enthält, ist reskit.com, delegieren dev.reskit.com Sie an einen Windows-basierten Server, auf dem DNS ausgeführt wird.
• Delegieren Sie jede der Von den Domänencontroller-Locatordatensätzen (Domänencontroller) verwendeten Unterdomänen (SRV-Einträge) an einen Windows-basierten Server. Diese Unterdomänen sind _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.comund _udp.reskit.com. Diese Option wird verwendet, reskit.comwenn Active Directory-Domänennamen (z. B. ) mit dem Namen des Stamms einer Zone (z. B. ) nicht direkt an einen Windows-basierten Server delegiert werden können, reskit.comauf dem DNS ausgeführt wird. Optional können Clients Mitglieder der Active Directory-Domäne namens reskit.comsein, können sich aber in der DNS-Zone namens dynamic.reskit.comregistrieren.

In diesem Artikel wird die vierte oben aufgeführte Option beschrieben, wie Windows DNS in eine organization integriert wird, für die bereits ein DNS-Namespace implementiert ist, in dem der DNS-Server, der für die Zone mit dem Namen der Active Directory-Domäne autoritativ ist, RFC 2136 (dynamische Updates) nicht unterstützt. In diesem Artikel wird auch ein Szenario behandelt, in dem Domänenmitglieder ein primäres DNS-Suffix verwenden, das sich vom Namen der Active Directory-Domäne unterscheidet, um die dynamische Registrierung von DNS-Einträgen durch Windows-basierte Computer zu ermöglichen, wenn der DNS-Server, der für die Zone mit dem Namen der Active Directory-Domäne autoritativ ist, keine dynamischen DNS-Updates unterstützt.

Weitere Informationen

Um Windows DNS in einen vorhandenen Namespace zu integrieren, der auf nicht dynamischen DNS-Servern basiert, können Sie die von den Locatoreinträgen verwendeten Unterdomänen (SRV-Einträge) delegieren, sodass dynamische Updates (gemäß RFC 2136) verwendet werden können. Gehen Sie folgendermaßen vor:

1. Delegieren Sie auf dem nicht dynamischen DNS-Server, der für die Zone mit dem Namen der Active Directory-Domäne autoritativ ist, die folgenden Zonen an einen Windows 2000-basierten Server, auf dem DNS ausgeführt wird:

   _Udp. DNSDomainName
   _Tcp. DNSDomainName
   _Websites. DNSDomainName
   _msdcs. DNSDomainName

   Wenn die Stammzone beispielsweise heißt reskit.com, delegieren _udp.reskit.comSie , _tcp.reskit.com, _sites.reskit.comund _msdcs.reskit.com an den Windows-basierten Server.

   Sie müssen auch zwei zusätzliche Unterdomänen delegieren:

   ForestDnsZones. ForestDNSName
   Domaindnszones. DNSDomainName

2. Erstellen Sie auf dem Windows-basierten Server die in Schritt 1 delegierten Weiterleitungszonen, und aktivieren Sie die Zonen für dynamische Updates.

   So erstellen Sie die neuen Zonen:

   1. Starten Sie den DNS-Manager auf dem Windows-Server.

   2. Erweitern Sie den entsprechenden DNS-Server im DNS-Manager.

   3. Klicken Sie mit der rechten Maustaste auf den Ordner Forward-Lookupzonen, und klicken Sie dann auf Neue Zone.

   4. Wenn der Assistent für neue Zonen gestartet wird, klicken Sie auf Weiter, wählen Sie "Primäre Zone" aus, aktivieren Sie möglicherweise das Kontrollkästchen Zone in Active Directory speichern, und klicken Sie dann auf Weiter.

   5. Wählen Sie für in AD integrierte Zonen aus, wohin die Zonendaten weitergeleitet werden sollen, entweder zu allen DNS-Servern in der Domäne oder Gesamtstruktur oder zu allen DCS in der Domäne (nur Option in Windows 2000).

   6. Geben Sie den Namen der Zone in das Feld Name ein. Geben Sie beispielsweise _msdcs.reskit.com ein.

   7. Klicken Sie auf "Weiter". Nachdem Sie die Zusammenfassung des Assistenten überprüft haben, klicken Sie auf Fertig stellen.

   So aktivieren Sie die Zone, um dynamische Updates zu akzeptieren:

   1. Klicken Sie mithilfe des DNS-Managers auf dem Windows-Server, auf dem DNS ausgeführt wird, mit der rechten Maustaste auf die neue Zone, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Allgemein.
   2. Klicken Sie im Feld Dynamische Updates zulassen auf Nur sichere Updates (empfohlen) oder Auf Ja. Die Option Only Secure Updates ist erst verfügbar, nachdem der Server zu einem Domänencontroller heraufgestuft wurde. Wiederholen Sie diesen Vorgang, bis alle vier in Schritt 1 beschriebenen Zonen erstellt und dynamische Updates zugelassen wurden. Dadurch können Domänencontrollerlocatordatensätze dynamisch im DNS registriert und deregistrieren.

3. Darüber hinaus können eine oder mehrere Zonen erstellt und konfiguriert werden, damit Clients und Server sich dynamisch beim Windows-Server registrieren können. Beispielsweise könnte eine Zone namens dynamic.reskit.com verwendet werden, um alle Clients und Server in einem Netzwerk über dynamische Updates zu registrieren. So konfigurieren Sie eine solche Zone:

   1. Delegieren Sie auf dem nicht dynamischen DNS-Server, reskit.comder für die übergeordnete Zone autoritativ ist (z. B. ), eine neue Zone an den Windows-basierten Server, auf dem DNS ausgeführt wird. Delegieren Sie z. B. die dynamic.reskit.com. zone auf dem Windows-Server.
   2. Erstellen Sie auf dem Windows-Server eine Forward-Lookupzone für die oben delegierte Zone (dynamic.reskit.com).
   3. Aktivieren Sie auf dem Windows-Server die Zonen für dynamische Updates.

4. Wenn Windows-Domänencontroller gestartet werden, versucht der Netlogon-Dienst, mehrere SRV-Einträge in der autoritativen Zone zu registrieren. Da die Zonen, in denen die SRV-Einträge registriert werden sollen, (in den Schritten 1 und 2) an einen Windows-Server delegiert wurden, wo sie dynamisch aktualisiert werden können, werden diese Registrierungen erfolgreich durchgeführt. Darüber hinaus versucht ein Domänencontroller, die A-Einträge zu registrieren, die in seiner Netlogon.dns-Datei in der Stammzone aufgeführt sind (z. B reskit.com. ). Da sich die Stammzone in diesem Fall auf einem nicht dynamischen DNS-Server befindet, werden diese Updates nicht erfolgreich ausgeführt. Das folgende Ereignis wird im Systemprotokoll auf dem Domänencontroller generiert:

   Ereignistyp: Warnung
   Ereignisquelle: NETLOGON
   Ereigniskategorie: Keine
   Ereignis-ID: 5773
   Date: <DateTime>
   Time: <DateTime>
   Benutzer: Nicht zutreffend
   Computer: DC
   Beschreibung:
   Der DNS-Server für diesen Domänencontroller unterstützt kein dynamisches DNS. Fügen Sie die DNS-Einträge aus der Datei %SystemRoot%\System32\Config\netlogon.dns dem DNS-Server hinzu, der die Domäne bereitstellt, auf die in dieser Datei verwiesen wird.

   So korrigieren Sie dieses Verhalten:

   1. Jeder Windows-Domänencontroller verfügt über eine Netlogon.dns-Datei im Ordner %SystemRoot%\System32\Config. Diese Datei enthält eine Liste der DNS-Einträge, die der DC beim Starten des Netlogon-Diensts zu registrieren versucht. Es empfiehlt sich, eine Kopie dieser Datei zu erstellen, bevor Sie die folgenden Änderungen vornehmen, damit Sie über eine Liste der ursprünglichen Datensätze verfügen, die der DC beim DNS-Server zu registrieren versucht. Beachten Sie, dass jeder DC unterschiedliche Datensätze hat, da diese Datensätze für jeden Netzwerkadapter auf jedem Domänencontroller spezifisch sind. Überprüfen Sie die Datei Netlogon.dns, um alle A-Einträge in der Datei zu identifizieren. Sie können A-Datensätze anhand des Datensatztyps identifizieren, der dem Klassendeskriptor "IN" folgt. Die folgenden beiden Einträge sind beispielsweise A-Einträge:

      reskit.com. 600 IN EINEM 10.10.10.10
      gc._msdcs.reskit.com. 600 IN EINEM 10.10.10.10

      Die Anzahl der A-Einträge in der Datei Netlogon.dns hängt von der Anzahl der Adapter ab, über die der DC verfügt, der Anzahl der IP-Adressen, mit denen jeder Adapter konfiguriert wurde, und der Rolle des Domänencontrollers. DCs registrieren:

      • Ein A-Eintrag pro IP-Adresse für den Namen der Domäne.
      • Wenn der DC auch ein globaler Katalogserver (GC) ist, registriert er gc._msdcs. DnsForestName für jede ip-Adresse.

   2. Da der nicht dynamische DNS-Server die Versuche des Domänencontrollers, die A-Einträge dynamisch zu registrieren, nicht akzeptiert, müssen die A-Einträge auf dem autoritativen DNS-Server manuell konfiguriert werden (im Beispiel in diesem Artikel ist der DNS-Server autoritativ für die Zone reskit.com). Das Hinzufügen des A-Eintrags, reskit.comder dem Namen der Domäne entspricht (z. B. ), ist für die Windows-Bereitstellung nicht erforderlich und kann nur erforderlich sein, wenn LDAP-Clients von Drittanbietern, die keine SRV-DNS-Einträge unterstützen, nach den Windows-DCs suchen.

      Erstellen Sie auf dem Windows-Server die GC-serverspezifischen A-Einträge, die in Schritt A identifiziert wurden, in der entsprechenden Zone. Erstellen Sie beispielsweise einen A-Eintrag für den GC-Server in der Zone _msdcs.reskit.com.

      Erstellen Sie auf dem nicht dynamischen DNS-Server, der für den Stamm der Zone autoritativ ist, A-Einträge in der Stammzone (z. B reskit.com. ) für die nicht-GC-serverspezifischen A-Einträge, die in Schritt A identifiziert wurden. Erstellen Sie beispielsweise einen A-Eintrag für reskit.com in der reskit.com Zone.

   3. Der folgende Registrierungsschlüssel sollte verwendet werden, um zu deaktivieren, dass der Domänencontroller versucht, die A-Einträge in der Datei Netlogon.dns zu registrieren. Legen Sie den REG_DWORD Wert RegisterDnsARecords unter auf 0 (null) fest:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

5. Um dieses Verhalten zu korrigieren: Sobald Sie über eine Active Directory-Gesamtstruktur und -Domäne verfügen, sollten Sie Active Directory in die DNS-Domänen integrieren, für die der Windows-Server mit DNS verantwortlich ist. Außerdem sollten Sie Zonen neu konfigurieren, die so konfiguriert wurden, dass sie dynamische Updates akzeptieren, um nur sichere dynamische Updates zu akzeptieren.