Konfigurieren und Verwenden der Funktion „Automatische Updates“ in Windows

In diesem Artikel wird beschrieben, wie Sie die DNS-Updatefunktionalität in Windows konfigurieren.

Gilt für: Windows 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 10
Ursprüngliche KB-Nummer: 816592

Zusammenfassung

Die DNS-Updatefunktionalität ermöglicht ES DNS-Clientcomputern, ihre Ressourceneinträge bei Änderungen bei einem DNS-Server zu registrieren und dynamisch zu aktualisieren. Wenn Sie diese Funktion verwenden, können Sie die Anforderung für die manuelle Verwaltung von Zoneneinträgen verringern, insbesondere für Clients, die häufig dhcp (Dynamic Host Configuration Protocol) verschieben und verwenden, um eine IP-Adresse abzurufen.

Windows bietet Unterstützung für die dynamische Updatefunktionalität, wie unter Request for Comments (RFC) 2136 beschrieben. Für DNS-Server ermöglicht ihnen der DNS-Dienst, die DNS-Updatefunktionalität auf Zonenbasis auf jedem Server zu aktivieren oder zu deaktivieren, der so konfiguriert ist, dass entweder eine primäre oder verzeichnisintegrierte Standardzone geladen wird.

Windows DNS-Updatefeatures

Mit dem DNS-Dienst können Clientcomputer ihre Ressourceneinträge im DNS dynamisch aktualisieren. Wenn Sie diese Funktion verwenden, verbessern Sie die DNS-Verwaltung, indem Sie die Zeit verringern, die zum manuellen Verwalten von Zoneneinträgen erforderlich ist. Sie können die DNS-Updatefunktionalität mit DHCP verwenden, um Ressourceneinträge zu aktualisieren, wenn die IP-Adresse eines Computers geändert wird.

Windows bietet die folgenden Features im Zusammenhang mit dem dynamischen DNS-Updateprotokoll:

  • Verwendung des Active Directory-Verzeichnisdiensts als Locatordienst für Domänencontroller.

  • Integration in Active Directory.

    Sie können DNS-Zonen in Active Directory integrieren, um eine höhere Fehlertoleranz und Sicherheit zu gewährleisten. Jede in Active Directory integrierte Zone wird unter allen Domänencontrollern in der Active Directory-Domäne repliziert. Alle DNS-Server, die auf diesen Domänencontrollern ausgeführt werden, können als primäre Server für die Zone fungieren und dynamische Updates akzeptieren. Active Directory repliziert auf Eigenschaftsbasis und verteilt nur relevante Änderungen.

  • Altern und Auffangen von Datensätzen.

    Der DNS-Serverdienst kann datensätze scannen und entfernen, die nicht mehr erforderlich sind. Wenn Sie dieses Feature aktivieren, können Sie verhindern, dass veraltete Einträge im DNS verbleiben.

  • Sichern dynamischer Updates in Active Directory-integrierten Zonen.

    Sie können in Active Directory integrierte Zonen für sichere dynamische Updates konfigurieren, sodass nur autorisierte Clients Änderungen an einer Zone oder an einem Datensatz vornehmen können.

  • Verwaltung über eine Eingabeaufforderung.

  • NetBIOS-Namensauflösung

  • Verbesserte Zwischenspeicherung und negative Zwischenspeicherung.

  • Interoperabilität mit anderen DNS-Serverimplementierungen.

  • Integration in andere Netzwerkdienste.

  • Inkrementelle Zonenübertragung.

So aktualisieren Windows-basierte Computer ihre DNS-Namen

Standardmäßig versuchen Windows-Computer, die statisch für TCP/IP konfiguriert sind, die Hostadresse (A) und Zeigerressourceneinträge (PTR) für IP-Adressen zu registrieren, die von ihren installierten Netzwerkverbindungen konfiguriert und verwendet werden. Standardmäßig basieren alle Computerregistereinträge auf dem vollständigen Computernamen.

Der primäre vollständige Computername ist ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN). Darüber hinaus ist der primäre vollständige Computername das primäre DNS-Suffix des Computers, der an den Computernamen angefügt wird. Um das primäre DNS-Suffix des Computers und den Computernamen zu ermitteln, klicken Sie mit der rechten Maustaste auf "Arbeitsplatz", klicken Sie auf "Eigenschaften", und klicken Sie dann auf "Computername".

DNS-Updates können aus einem der folgenden Gründe oder Ereignisse gesendet werden:

  • Eine IP-Adresse wird in der TCP/IP-Eigenschaftenkonfiguration für eine der installierten Netzwerkverbindungen hinzugefügt, entfernt oder geändert.
  • Eine IP-Adressleasierung ändert oder erneuert eine der installierten Netzwerkverbindungen mit dem DHCP-Server. Dieses Update tritt z. B. auf, wenn der Computer gestartet wird oder wenn Sie den ipconfig /renew Befehl verwenden.
  • Sie verwenden den ipconfig /registerdns Befehl, um eine Aktualisierung der Clientnamenregistrierung in DNS manuell zu erzwingen.
  • Der Remote-Computer ist ausgeschaltet.
  • Ein Mitgliedsserver wird zu einem Domänencontroller heraufgestuft.

Wenn eines dieser Ereignisse ein DNS-Update auslöst, sendet der DHCP-Clientdienst, nicht der DNS-Clientdienst, Updates. Wenn eine Änderung der IP-Adressinformationen aufgrund von DHCP erfolgt, werden entsprechende Aktualisierungen im DNS ausgeführt, um Die Zuordnungen von Name zu Adresse für den Computer zu synchronisieren. Der DHCP-Clientdienst führt diese Funktion für alle Netzwerkverbindungen im System aus. Dies schließt Verbindungen ein, die nicht für die Verwendung von DHCP konfiguriert sind.

Hinweis

  • Der Aktualisierungsprozess für Windows-basierte Computer, die DHCP zum Abrufen ihrer IP-Adresse verwenden, unterscheidet sich von dem in diesem Abschnitt beschriebenen Prozess. Weitere Informationen finden Sie im Abschnitt "Integration von DHCP mit DNS" und im Abschnitt "Windows DHCP-Clients und dns dynamic update protocol".
  • Der in diesem Abschnitt beschriebene Updateprozess setzt voraus, dass die Windows-Installationsstandards wirksam sind. Bestimmte Namen und Aktualisierungsverhalten können optimiert werden, wenn erweiterte TCP/IP-Eigenschaften für die Verwendung nicht standardmäßiger DNS-Einstellungen konfiguriert sind.
  • Neben dem vollständigen Computernamen oder dem primären Namen des Computers können Sie zusätzliche verbindungsspezifische DNS-Namen konfigurieren und optional in DNS registrieren oder aktualisieren.

Standardmäßig registriert Windows A- und PTR-Ressourceneinträge alle 24 Stunden, unabhängig von der Rolle des Computers. Um dieses Mal zu ändern, fügen Sie den Registrierungseintrag DefaultRegistrationRefreshInterval unter dem folgenden Registrierungsunterschlüssel hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters

Das Intervall wird in Sekunden festgelegt.

Beispiel für die Funktionsweise von DNS-Updates

Dynamische Updates werden in der Regel angefordert, wenn sich entweder ein DNS-Name oder eine IP-Adresse auf dem Computer ändert. Beispielsweise wird ein Client mit dem Namen "oldhost" zuerst in Systemeigenschaften so konfiguriert, dass er die folgenden Namen aufweist:
Computername: oldhost
DNS-Domänenname des Computers: example.microsoft.com
NetBIOS-Computernamen

In diesem Beispiel sind keine verbindungsspezifischen DNS-Domänennamen für den Computer konfiguriert. Wenn Sie den Computer von "oldhost" in "newhost" umbenennen, werden die folgenden Namensänderungen vorgenommen:
Computername: newhost
DNS-Domänenname des Computers: example.microsoft.com
NetBIOS-Computernamen

Nachdem die Namensänderung in den Systemeigenschaften angewendet wurde, werden Sie von Windows aufgefordert, den Computer neu zu starten. Nachdem der Computer Windows neu gestartet hat, führt der DHCP-Clientdienst die folgende Sequenz aus, um DNS zu aktualisieren:

  1. Der DHCP-Clientdienst sendet eine SOA-Typabfrage (Start of Authority) mithilfe des DNS-Domänennamens des Computers.

    Der Clientcomputer verwendet den derzeit konfigurierten FQDN des Computers, z. B. "newhost.example.microsoft.com", wie in dieser Abfrage angegeben.

  2. Der autoritative DNS-Server für die Zone, die den Client-FQDN enthält, antwortet auf die SOA-Typ-Abfrage.

    Für primäre Standardzonen ist der primäre Server oder Besitzer, der in der SOA-Abfrageantwort zurückgegeben wird, fest und statisch. Der Primäre Servername stimmt immer mit dem exakten DNS-Namen überein, da dieser Name im SOA-Ressourceneintrag angezeigt wird, der mit der Zone gespeichert ist. Wenn die zone, die aktualisiert wird, jedoch verzeichnisintegriert ist, kann jeder DNS-Server, der die Zone lädt, antworten und dynamisch einen eigenen Namen als primären Server der Zone in die SOA-Abfrageantwort einfügen.

  3. Der DHCP-Clientdienst versucht, den primären DNS-Server zu kontaktieren.

    Der Client verarbeitet die SOA-Abfrageantwort nach seinem Namen, um die IP-Adresse des DNS-Servers zu ermitteln, der als primärer Server für die Annahme seines Namens autorisiert ist. Wenn dies erforderlich ist, führt der Client die folgenden Schritte aus, um den primären Server zu kontaktieren und dynamisch zu aktualisieren:

    1. Der Client sendet eine dynamische Aktualisierungsanforderung an den primären Server, die in der SOA-Abfrageantwort bestimmt wird.

      Wenn die Aktualisierung erfolgreich ist, wird keine zusätzliche Aktion ausgeführt.

    2. Wenn diese Aktualisierung fehlschlägt, sendet der Client als Nächstes eine NS-Typ-Abfrage nach dem Zonennamen, der im SOA-Eintrag angegeben ist.

    3. Wenn der Client eine Antwort auf diese Abfrage empfängt, sendet der Client eine SOA-Abfrage an den ersten DNS-Server, der in der Antwort aufgeführt ist.

    4. Nachdem die SOA-Abfrage aufgelöst wurde, sendet der Client eine dynamische Aktualisierung an den Server, der im zurückgegebenen SOA-Eintrag angegeben ist.

      Wenn die Aktualisierung erfolgreich ist, wird keine zusätzliche Aktion ausgeführt.

    5. Wenn diese Aktualisierung fehlschlägt, wiederholt der Client den SOA-Abfragevorgang, indem er an den nächsten DNS-Server sendet, der in der Antwort aufgeführt ist.

  4. Nachdem der primäre Server, der das Update ausführen kann, kontaktiert wird, sendet der Client die Updateanforderung, und der Server verarbeitet sie.

    Der Inhalt der Aktualisierungsanforderung enthält Anweisungen zum Hinzufügen von A- und möglicherweise PTR-Ressourceneinträgen für "newhost.example.microsoft.com" und zum Entfernen der gleichen Datensatztypen für "oldhost.example.microsoft.com". ("oldhost.example.microsoft.com" ist der Name, der zuvor registriert wurde.)

    Der Server überprüft auch, ob Updates für die Clientanforderung zulässig sind. Für primäre Standardzonen sind dynamische Updates nicht gesichert. Jeder Aktualisierungsversuch des Clients ist erfolgreich. Bei in Active Directory integrierten Zonen werden Updates mithilfe verzeichnisbasierter Sicherheitseinstellungen gesichert und ausgeführt.

Dynamische Updates werden regelmäßig gesendet oder aktualisiert. Standardmäßig senden Computer alle vierundzwanzig Stunden ein Update. Wenn das Update keine Änderungen an Zonendaten bewirkt, bleibt die Zone bei ihrer aktuellen Version, und es werden keine Änderungen geschrieben. Aktualisierungen, die tatsächliche Zonenänderungen oder erhöhte Zonenübertragungen verursachen, treten nur auf, wenn sich Namen oder Adressen tatsächlich ändern.

Hinweis

Namen werden nicht aus DNS-Zonen entfernt, wenn sie inaktiv werden oder nicht innerhalb des Aktualisierungsintervalls von vierundzwanzig Stunden aktualisiert werden. DNS verwendet keinen Mechanismus, um Namen freizugeben oder zu Tombstone-Namen zu verwenden, obwohl DNS-Clients versuchen, alte Namenseinträge zu löschen oder zu aktualisieren, wenn eine neue Namens- oder Adressänderung angewendet wird

Wenn der DHCP-Clientdienst A- und PTR-Ressourceneinträge für einen Windows-basierten Computer registriert, verwendet der Client für Hostdatensätze einen Standardmäßigen TTL-Wert (Time-to-Live) für die Zwischenspeicherung von 15 Minuten. Dieser Wert bestimmt, wie lange andere DNS-Server und -Clients die Datensätze eines Computers zwischenspeichern, wenn sie in eine Abfrageantwort eingeschlossen werden.

Integration von DHCP mit DNS

Ein Windows DHCP-Server kann dynamische Updates im DNS-Namespace für jeden clients aktivieren, der diese Updates unterstützt. Bereichsclients können das dynamische DNS-Updateprotokoll verwenden, um ihre Hostname-zu-Adresse-Zuordnungsinformationen zu aktualisieren, wenn Änderungen an ihrer DHCP-zugewiesenen Adresse vorgenommen werden. Diese Zuordnungsinformationen werden in Zonen auf dem DNS-Server gespeichert. Ein Windows-basierter DHCP-Server kann Updates im Auftrag seiner DHCP-Clients für jeden DNS-Server ausführen.

Funktionsweise der DHCP/DNS-Aktualisierungsinteraktion

Sie können den DHCP-Server verwenden, um die PTR- und A-Ressourceneinträge im Namen der DHCP-fähigen Clients des Servers zu registrieren und zu aktualisieren. Dazu müssen Sie eine zusätzliche DHCP-Option verwenden, die Client-FQDN-Option (Option 81). Mit dieser Option kann der Client seinen FQDN an den DHCP-Server im DHCPREQUEST-Paket senden. Auf diese Weise kann der Client den DHCP-Server über den erforderlichen Dienstgrad benachrichtigen.

Die FQDN-Option umfasst die folgenden sechs Felder:

  • Code
    Gibt den Code für diese Option an (81).
  • Länge
    Gibt die Länge dieser Option an. (Dies muss mindestens 4 sein.)
  • Flags
    Gibt den Diensttyp an.
  • 0
    Der Client registriert den Datensatz "A" (Host).
  • 1
    Der Client möchte, dass DHCP den "A"-Eintrag (Host) registriert.
  • 3
    DHCP registriert den Datensatz "A" (Host) unabhängig von der Anforderung des Clients.
  • RCODE1
    Gibt einen Antwortcode an, den der Server an den Client sendet.
  • RCODE2
    Gibt eine zusätzliche Abgrenzung von RCODE1 an.
  • Domänenname
    Gibt den FQDN des Clients an.

Wenn der Client die Registrierung seiner Ressourceneinträge bei DNS anfordert, ist der Client für das Generieren der dynamischen UPDATE-Anforderung gemäß Rfc 2136 (Request for Comments) verantwortlich. Anschließend registriert der DHCP-Server seinen PTR-Eintrag (Zeiger).

Gehen Sie davon aus, dass diese Option von einem qualifizierten DHCP-Client ausgegeben wird, z. B. einem DHCP-fähigen Computer, auf dem Windows ausgeführt wird. In diesem Fall wird die Option von Windows Server-basierten DHCP-Servern verarbeitet und interpretiert, um zu bestimmen, wie der Server Updates im Auftrag des Clients initiiert.

Sie können beispielsweise eine der folgenden Konfigurationen verwenden, um Clientanforderungen zu verarbeiten:

  • Der DHCP-Server registriert und aktualisiert Clientinformationen mit seinen konfigurierten DNS-Servern entsprechend der Clientanforderung.

    Dies ist die Standardkonfiguration für Windows. In diesem Modus kann jeder dieser Windows DHCP-Clients angeben, wie der DHCP-Server seine Host-A- und PTR-Ressourceneinträge aktualisiert. Wenn dies möglich ist, verarbeitet der DHCP-Server die Clientanforderung für die Verarbeitung von Aktualisierungen seiner Namens- und IP-Adressinformationen in DNS.

    Führen Sie die folgenden Schritte aus, um den DHCP-Server so zu konfigurieren, dass Clientinformationen gemäß der Anforderung des Clients registriert werden:

    1. Öffnen Sie die DHCP-Eigenschaften für den Server oder den einzelnen Bereich.
    2. Klicken Sie auf die Registerkarte "DNS ", dann auf "Eigenschaften", und klicken Sie dann, um die Einträge "DNS A" und "PTR dynamisch aktualisieren" nur dann auszuwählen, wenn dies vom DHCP-Clients angefordert wird.
  • Der DHCP-Server registriert und aktualisiert Clientinformationen immer bei den konfigurierten DNS-Servern.

    Dies ist eine geänderte Konfiguration, die für Windows Server-DHCP-Server und -Clients unterstützt wird, auf denen Windows ausgeführt wird. In diesem Modus führt der DHCP-Server immer Updates des FQDN des Clients und geleaste IP-Adressinformationen aus, unabhängig davon, ob der Client eine eigene Aktualisierung angefordert hat.

    Führen Sie die folgenden Schritte aus, um einen DHCP-Server zum Registrieren und Aktualisieren von Clientinformationen mit den konfigurierten DNS-Servern zu konfigurieren:

    1. Öffnen der DHCP-Eigenschaften für den Server
    2. Klicken Sie auf DNS, klicken Sie auf "Eigenschaften", aktivieren Sie das Kontrollkästchen " Dynamische DNS-Updates gemäß den einstellungen aktivieren", und klicken Sie dann auf "DNS A- und PTR-Einträge immer dynamisch aktualisieren".
  • Der DHCP-Server registriert und aktualisiert Clientinformationen niemals bei den konfigurierten DNS-Servern.

    Um diese Konfiguration verwenden zu können, muss der DHCP-Server so konfiguriert sein, dass die Leistung von DHCP/DNS-Proxied-Updates deaktiviert wird. Wenn Sie diese Konfiguration verwenden, werden keine Clienthost-A- oder PTR-Ressourceneinträge in DNS für DHCP-Clients aktualisiert.

    Gehen Sie folgendermaßen vor, um Server und Freigabe zu konfigurieren:

    1. Öffnen Sie die DHCP-Eigenschaften für den DHCP-Server oder einen seiner Bereiche auf dem Windows Server-basierten DHCP-Server.
    2. Klicken Sie auf DNS, klicken Sie auf "Eigenschaften", und deaktivieren Sie dann das Kontrollkästchen "Dynamische DNS-Updates gemäß den einstellungen unten aktivieren ".

    Standardmäßig werden Updates immer für neu installierte Windows Server-basierte DHCP-Server und alle neuen Bereiche ausgeführt, die Sie für sie erstellen.

Windows DHCP-Clients und dynamisches DNS-Updateprotokoll

DHCP-Clients, auf denen Windows ausgeführt wird, können beim Ausführen der DHCP-/DNS-Interaktionen unterschiedlich interagieren. Die folgenden Beispiele zeigen, wie dieser Prozess in verschiedenen Fällen variiert.

Beispiel für eine DHCP/DNS-Updateinteraktion für Windows-basierte DHCP-Clients

Clients interagieren auf folgende Weise mit dem dynamischen DNS-Updateprotokoll:

  1. Der Client initiiert eine DHCP-Anforderungsnachricht (DHCPREQUEST) an den Server. Die Anforderung enthält Option 81.
  2. Der Server gibt eine DHCP-Bestätigungsnachricht (DHCPACK) an den Client zurück. Der Client gewährt einen IP-Adressleasing und schließt Option 81 ein. Wenn der DHCP-Server mit den Standardeinstellungen konfiguriert ist, teilt Option 81 dem Client mit, dass der DHCP-Server den DNS-PTR-Eintrag registriert und dass der Client den DNS A-Eintrag registriert.
  3. Asynchron sendet der Client eine DNS-Updateanforderung an den DNS-Server für seinen eigenen Forward-Lookup-Eintrag, einen Host-A-Ressourceneintrag.
  4. Der DHCP-Server registriert den PTR-Eintrag des Clients.

Beispiel für eine DHCP/DNS-Updateinteraktion für DHCP-Clients, die keine dynamischen DNS-Updates unterstützen

DHCP-Clients, die den dynamischen DNS-Updateprozess nicht direkt unterstützen, können nicht direkt mit dem DNS-Server interagieren. Für diese DHCP-Clients werden Updates in der Regel wie folgt behandelt:

  1. Der Client initiiert eine DHCP-Anforderungsnachricht (DHCPREQUEST) an den Server. Diese Anforderung enthält nicht option 81.
  2. Der Server gibt eine DHCP-Bestätigungsnachricht (DHCPACK) an den Client zurück. Der Client gewährt eine IP-Adressleasing ohne Option 81.
  3. Der Server sendet Updates an den DNS-Server für den Forward-Lookup-Eintrag des Clients, den Host-A-Ressourceneintrag, und sendet eine Aktualisierung für den PTR-Reverse-Lookup-Eintrag des Clients.

Sichere dynamische Updates

Für Windows Server ist die DNS-Updatesicherheit nur für Zonen verfügbar, die in Active Directory integriert sind. Nachdem Sie eine Zone integriert haben, können Sie die im DNS-Snap-In verfügbaren Bearbeitungsfeatures der Zugriffssteuerungsliste (Access Control List, ACL) verwenden, um Benutzer oder Gruppen für eine bestimmte Zone oder einen Ressourceneintrag hinzuzufügen oder aus der ACL zu entfernen.

Weitere Informationen finden Sie unter dem Thema "So ändern Sie die Sicherheit für einen Ressourcendatensatz" oder im Thema "So ändern Sie die Sicherheit für eine integrierte Verzeichniszone" in der Windows Server-Hilfe.

Standardmäßig wird die Sicherheit dynamischer Updates für Windows Server-DNS-Server und -Clients wie folgt behandelt:

  1. Windows Server-basierte DNS-Clients versuchen zuerst, unsichere dynamische Updates zu verwenden. Wenn das unsichere Update abgelehnt wird, versuchen Clients, ein sicheres Update zu verwenden.

    Außerdem verwenden Clients eine Standardupdaterichtlinie, mit der sie versuchen können, einen zuvor registrierten Ressourcendatensatz zu überschreiben, es sei denn, sie werden ausdrücklich durch die Updatesicherheit blockiert.

  2. Nachdem eine Zone in Active Directory integriert wurde, aktivieren Windows Server-basierte DNS-Server standardmäßig nur sichere dynamische Updates.

Wenn Sie standardmäßigen Zonenspeicher verwenden, aktiviert der DNS-Serverdienst standardmäßig keine dynamischen Updates für seine Zonen. Für Zonen, die entweder verzeichnisintegriert sind oder standardmäßigen dateibasierten Speicher verwenden, können Sie die Zone so ändern, dass alle dynamischen Updates aktiviert werden. Dadurch können alle Updates akzeptiert werden, indem die Verwendung sicherer Updates übergeben wird.

Wichtig

Der DHCP-Serverdienst kann die Proxyregistrierung und Aktualisierung von DNS-Einträgen für Legacyclients durchführen, die dynamische Updates nicht unterstützen. Weitere Informationen finden Sie im Thema "Verwenden von DNS-Servern mit DHCP" in der Windows Server-Hilfe.

Nur sichere dynamische Updates aktivieren

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf DNS.
  2. Doppelklicken Sie unter DNS auf den entsprechenden DNS-Server, doppelklicken Sie auf "Forward Lookup Zones " oder "Reverse Lookup Zones", und klicken Sie dann mit der rechten Maustaste auf die entsprechende Zone.
  3. Klicken Sie auf Eigenschaften.
  4. Überprüfen Sie auf der Registerkarte " Allgemein ", ob der Zonentyp in Active Directory integriert ist.
  5. Klicken Sie im Feld "Dynamische Updates " auf "Nur sichern".
  6. Klicken Sie auf OK.

Hinweis

Die Funktion für sichere dynamische Updates wird nur für Active Directory-integrierte Zonen unterstützt. Wenn Sie einen anderen Zonentyp konfigurieren, ändern Sie den Zonentyp, und integrieren Sie dann die Zone, bevor Sie sie für DNS-Updates sichern. Das dynamische Update ist eine RFC-konforme Erweiterung des DNS-Standards. Der DNS-Updateprozess ist in RFC 2136 definiert, "Dynamic Aktualisierungen in the Domain Name System (DNS UPDATE)".

Sicherheitserwägungen, wenn der DHCP-Server die dynamische Aktualisierung im Namen der Clients vornimmt

Sie können einen Windows Server-basierten DHCP-Server so konfigurieren, dass er Host-A- und PTR-Ressourceneinträge dynamisch im Auftrag von DHCP-Clients registriert. Wenn Sie in dieser Konfiguration sichere dynamische Updates mit Windows Server-basierten DNS-Servern verwenden, werden Ressourceneinträge möglicherweise veraltet.

Stellen Sie sich beispielsweise das folgende Szenario vor.

  1. Ein Windows Server DHCP-Server (DHCP1) führt ein sicheres dynamisches Update im Namen eines seiner Clients für einen bestimmten DNS-Domänennamen durch.
  2. Da der DHCP-Server den Namen erfolgreich erstellt hat, wird er zum Besitzer des Namens.
  3. Nachdem der DHCP-Server der Besitzer des Clientnamens wurde, kann nur dieser DHCP-Server den Namen aktualisieren.

Unter bestimmten Umständen kann dieses Szenario Probleme verursachen. Wenn beispielsweise DHCP1 fehlschlägt und ein zweiter DHCP-Sicherungsserver online ist, kann der Sicherungsserver den Clientnamen nicht aktualisieren, da der Server nicht der Besitzer des Namens ist.

In einem anderen Beispiel könnten Sie mehrere DHCP-Server konfiguriert haben oder die DHCP-Failover-Funktion verwenden, bei der verschiedene DHCP-Server für die dynamische Aktualisierung eines einzelnen Clients zuständig sind.

Führen Sie die folgenden Schritte aus, um sich vor unsicheren oder veralteten Datensätzen zu schützen:

  1. Erstellen Sie im Snap-In für Active Directory-Benutzer und -Computer ein eigenes Benutzerkonto.
  2. Konfigurieren Sie DHCP-Server so, dass dynamische DNS-Updates mit den Anmeldeinformationen des Benutzerkontos ausgeführt werden. (Diese Anmeldeinformationen sind der Benutzername, das Kennwort und die Domäne.)

Die Anmeldeinformationen eines dedizierten Benutzerkontos können von mehreren DHCP-Servern verwendet werden.

Ein dediziertes Benutzerkonto ist ein Benutzerkonto, dessen einziger Zweck darin besteht, DHCP-Servern Anmeldeinformationen für dynamische DNS-Updateregistrierungen zur Verfügung zu stellen. Gehen Sie davon aus, dass Sie ein dediziertes Benutzerkonto erstellt und DHCP-Server mit den Kontoanmeldeinformationen konfiguriert haben. Jeder DHCP-Server gibt diese Anmeldeinformationen an, wenn er Namen im Namen von DHCP-Clients registriert, die das dynamische DNS-Update verwenden. Das dedizierte Benutzerkonto sollte in der Gesamtstruktur erstellt werden, in der sich der primäre DNS-Server für die zu aktualisierende Zone befindet. Das dedizierte Benutzerkonto kann sich auch in einer anderen Gesamtstruktur befinden. Für die Gesamtstruktur, in der sich das Konto befindet, muss jedoch eine Gesamtstrukturvertrauensstellung mit der Gesamtstruktur eingerichtet sein, die den primären DNS-Server für die zu aktualisierende Zone enthält.

Wenn der DHCP-Serverdienst auf einem Domänencontroller installiert ist, können Sie den DHCP-Server mithilfe der Anmeldeinformationen des dedizierten Benutzerkontos konfigurieren, um zu verhindern, dass der Server die Leistung des Domänencontrollers erbt und möglicherweise falsch verwendet. Wenn der DHCP-Serverdienst auf einem Domänencontroller installiert ist, erbt er die Sicherheitsberechtigungen des Domänencontrollers. Der Dienst ist außerdem befugt, dns-Einträge zu aktualisieren oder zu löschen, die in einer sicheren, in Active Directory integrierten Zone registriert sind. (Dazu gehören Datensätze, die von anderen Windows-basierten Computern und domänencontrollern sicher registriert wurden.)

Konfigurieren dynamischer DNS-Updates

Die in Windows enthaltene dynamische Updatefunktionalität folgt RFC 2136. Mithilfe der dynamischen Aktualisierung können Clients und Server DNS-Domänennamen (PTR-Ressourceneinträge) und IP-Adresszuordnungen (A-Ressourceneinträge) zu einem RFC 2136-kompatiblen DNS-Server registrieren.

Konfigurieren dynamischer DNS-Updates für DHCP-Clients

Standardmäßig sind Windows-basierte DHCP-Clients so konfiguriert, dass angefordert wird, dass der Client den A-Ressourcendatensatz registriert und der Server den PTR-Ressourcendatensatz registriert. Standardmäßig ist der in der DNS-Registrierung verwendete Name eine Verkettung des Computernamens und des primären DNS-Suffixes. Um diesen Standardnamen zu ändern, öffnen Sie die TCP/IP-Eigenschaften Ihrer Netzwerkverbindung.

Führen Sie die folgenden Schritte aus, um die Standardeinstellungen für dynamische Updates auf dem dynamischen Updateclient zu ändern:

  1. Doppelklicken Sie in der Systemsteuerung auf Netzwerkverbindungen.

  2. Klicken Sie mit der rechten Maustaste auf den Ordner, den Sie überprüfen möchten, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf Internetprotokoll (TCP/IP) und anschließend auf Eigenschaften.

  4. Klicken Sie auf DNS.

    Standardmäßig ist die Adresse dieser Verbindung im DNS registrieren ausgewählt, und das DNS-Suffix dieser Verbindung in der DNS-Registrierung verwenden ist nicht ausgewählt. Diese Standardkonfiguration bewirkt, dass der Client anfordert, dass der Client den A-Ressourcendatensatz registriert, und der Server den PTR-Ressourcendatensatz registriert.

  5. Aktivieren Sie das Kontrollkästchen " DNS-Suffix dieser Verbindung im DNS-Registrierung verwenden".

    Der Client fordert dann an, dass der Server den PTR-Eintrag mithilfe des FQDN aktualisiert. Wenn der DHCP-Server so konfiguriert ist, dass DNS-Einträge entsprechend der Anforderung des Clients registriert werden, registriert der Client die folgenden Einträge:

    • Der PTR-Eintrag.
    • Der A-Eintrag, der den Namen verwendet, bei dem es sich um eine Verkettung des Computernamens und des primären DNS-Suffixes handelt.
    • Der A-Eintrag, der den Namen verwendet, bei dem es sich um eine Verkettung des Computernamens und des verbindungsspezifischen DNS-Suffixes handelt.
  6. Um den Client so zu konfigurieren, dass keine Anforderungen für die DNS-Registrierung gestellt werden, deaktivieren Sie das Kontrollkästchen " Adresse dieser Verbindung im DNS registrieren ".

Konfigurieren dynamischer DNS-Updates auf mehrfach vernetzten Clientcomputern

Wenn ein dynamischer Updateclient mehrfach vernetzt ist, registriert er standardmäßig alle IP-Adressen mit DNS. Ein Client ist mehrfach vernetzt, wenn er über mehrere Adapter und eine zugeordnete IP-Adresse verfügt. Wenn der Client nicht alle IP-Adressen registrieren soll, können Sie ihn so konfigurieren, dass er keine oder mehrere IP-Adressen in den Netzwerkverbindungseigenschaften registriert.

Führen Sie die folgenden Schritte aus, um zu verhindern, dass der Computer alle IP-Adressen registriert:

  1. Doppelklicken Sie in der Systemsteuerung auf Netzwerkverbindungen.
  2. Klicken Sie mit der rechten Maustaste auf den Ordner, den Sie überprüfen möchten, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf Internetprotokoll (TCP/IP) und anschließend auf Eigenschaften.
  4. Klicken Sie auf DNS.
  5. Klicken Sie, um das Kontrollkästchen " Adresse dieser Verbindung im DNS registrieren " zu deaktivieren.

Sie können den Computer auch so konfigurieren, dass sein Domänenname im DNS registriert wird. Wenn Sie beispielsweise über einen Client verfügen, der mit zwei verschiedenen Netzwerken verbunden ist, können Sie den Client so konfigurieren, dass er in jedem Netzwerk einen anderen Domänennamen aufweist.

Konfigurieren dynamischer DNS-Updates auf einem Windows Server-basierten DHCP-Server

Führen Sie die folgenden Schritte aus, um das dynamische DNS-Update für einen Windows Server-basierten DHCP-Server zu konfigurieren:

  1. Klicken Sie auf Start, zeigen Sie dann auf Verwaltungstools und klicken Sie anschließend auf Computerverwaltung.

  2. Klicken Sie mit der rechten Maustaste auf den Server, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf DNS.

  4. Aktivieren Sie das Kontrollkästchen Dynamische DNS-Updates gemäß den unten aufgeführten Einstellungen aktivieren, um das dynamische DNS-Update für Clients zu aktivieren, die dynamische Updates unterstützen.

    Hinweis

    Dieses Kontrollkästchen ist standardmäßig aktiviert.

  5. Um das dynamische DNS-Update für DHCP-Clients zu aktivieren, die es nicht unterstützen, aktivieren Sie das Kontrollkästchen " DNS A- und PTR-Einträge dynamisch aktualisieren" für DHCP-Clients, die keine Aktualisierungen anfordern (z. B. Clients mit Windows NT 4.0).

  6. Klicken Sie auf OK.

Gehen Sie wie folgt vor, um den DHCP-Server so zu konfigurieren, dass er ein eigenes Benutzerkonto für die dynamische Aktualisierung verwendet:

  1. Klicken Sie auf Start, zeigen Sie dann auf Verwaltungstools und klicken Sie anschließend auf Computerverwaltung.
  2. Klicken Sie mit der rechten Maustaste auf den richtigen DHCP-Server, IPv4 oder IPv&, und klicken Sie dann auf Eigenschaften.
  3. Klicken Sie auf Erweitert und Zertifikate.
  4. Fügen Sie den Benutzernamen, die Domäne und das Passwort des erstellten dedizierten Benutzerkontos hinzu
  5. Klicken Sie auf OK.

Aktivieren dynamischer DNS-Updates für einen DNS-Server

Auf einem Windows Server-basierten DHCP-Server können Sie die DNS-Einträge für Clients vor Windows Server dynamisch aktualisieren, die dies nicht selbst erledigen können.

Führen Sie die folgenden Schritte aus, um es einem DHCP-Server zu ermöglichen, die DNS-Einträge seiner Clients dynamisch zu aktualisieren:

  1. Wählen Sie in der DHCP-Verwaltungskonsole den Bereich oder den DHCP-Server aus, für den Sie DNS-Updates aktivieren möchten.
  2. Klicken Sie im Menü Bearbeiten auf Entfernen und anschließend auf Ja.
  3. Aktivieren Sie das Kontrollkästchen "Dynamische DNS-Updates gemäß den einstellungen unten aktivieren ".
  4. Wenn Sie die DNS-Einträge eines Clients basierend auf dem Typ der DHCP-Anforderung aktualisieren möchten, die der Client sendet, klicken Sie, um dns-A- und PTR-Einträge nur dann dynamisch zu aktualisieren, wenn dies von den DHCP-Clients angefordert wird. (Dieses Update tritt nur auf, wenn der Client eine Anforderung sendet.)
  5. Um die Forward- und Reverse-Nachschlageeinträge eines Clients immer zu aktualisieren, klicken Sie, um " DNS A- und PTR-Einträge immer dynamisch aktualisieren" auszuwählen.
  6. Aktivieren Sie das Kontrollkästchen "A- und PTR-Einträge beim Löschen der Lease verwerfen ", damit der DHCP-Server den Datensatz für einen Client löscht, wenn die DHCP-Lease abläuft und nicht verlängert wird.

Deaktivieren dynamischer DNS-Updates

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

Standardmäßig werden dynamische Updates auf Windows Server-basierten Clients konfiguriert. Führen Sie die folgenden Schritte aus, um dynamische Updates für alle Netzwerkschnittstellen zu deaktivieren:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

  2. Finden und klicken Sie auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.

  4. Geben Sie FileOpenBlock ein, und drücken Sie die EINGABETASTE.

  5. Geben Sie unter DWORD-Wert bearbeiten in das Feld Wert den Wert 1 ein, und wählen Sie OK aus.

  6. Schließen Sie den Registrierungs-Editor.

Führen Sie die folgenden Schritte aus, um dynamische Updates für eine bestimmte Schnittstelle zu deaktivieren:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Finden und klicken Sie auf den folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

    Hinweis

    Die Schnittstelle ist die Geräte-ID des Netzwerkadapters für die Schnittstelle, für die Sie das dynamische Update deaktivieren möchten.

  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie FileOpenBlock ein, und drücken Sie die EINGABETASTE.
  5. Geben Sie unter DWORD-Wert bearbeiten in das Feld Wert den Wert 1 ein, und wählen Sie OK aus.
  6. Schließen Sie den Registrierungs-Editor.