Integrazione di DNS Windows in uno spazio dei nomi DNS esistente
Questo articolo descrive come integrare DNS Windows in un'organizzazione che dispone già di uno spazio dei nomi DNS implementato in cui il server DNS autorevole per la zona con il nome del dominio di Active Directory non supporta RFC 2136 (aggiornamenti dinamici).
Si applica a: Windows Server 2012 R2
Numero KB originale: 255913
Riepilogo
Una funzionalità di Windows Domain Name System (DNS) è il supporto per gli aggiornamenti host dinamici (documentati in RFC 2136). Per sfruttare questa funzionalità, DNS Windows può essere distribuito in ambienti che non dispongono di altri server DNS, nonché in ambienti in cui sono già implementati server DNS non dinamici, ad esempio BIND 4.9.7 e versioni precedenti e così via. Quando si distribuisce DNS Windows in un ambiente in cui sono già implementati server BIND, sono disponibili diverse opzioni di integrazione:
- Eseguire la migrazione di zone da server DNS autorevoli non dinamici a server che eseguono DNS Windows.
- Delegare domini DNS figlio in un dominio DNS padre. Per i nomi di dominio di Active Directory che non hanno lo stesso nome della radice di una zona, delegare il sottodominio a DNS Windows. Ad esempio, se il nome del dominio di Active Directory è
dev.reskit.com
e la zona che contiene questo nome èreskit.com
, delegaredev.reskit.com
a un server basato su Windows che esegue DNS. - Delegare ognuno dei sottodomini usati dai record del localizzatore del controller di dominio (record SRV) a un server basato su Windows. Questi sottodomini sono
_msdcs.reskit.com
,_sites.reskit.com
,_tcp.reskit.com
e_udp.reskit.com
. Questa opzione viene usata quando i nomi di dominio di Active Directory ,ad esempio ,reskit.com
che corrispondono al nome della radice di una zona (ad esempio,reskit.com
), non possono essere delegati direttamente a un server basato su Windows che esegue DNS. Facoltativamente, i client possono essere membri del dominio di Active Directory denominatoreskit.com
, ma possono registrarsi nella zona DNS denominatadynamic.reskit.com
.
Questo articolo illustra la quarta opzione elencata in precedenza, come integrare IL DNS di Windows in un'organizzazione in cui è già implementato uno spazio dei nomi DNS in cui il server DNS autorevole per la zona con il nome del dominio di Active Directory non supporta RFC 2136 (aggiornamenti dinamici). Questo articolo illustra anche uno scenario in cui i membri del dominio usano un suffisso DNS primario diverso dal nome del dominio di Active Directory per consentire la registrazione dinamica dei record DNS da parte dei computer basati su Windows quando il server DNS autorevole per la zona con il nome del dominio di Active Directory non supporta gli aggiornamenti DNS dinamici.
Ulteriori informazioni
Per integrare DNS Windows in uno spazio dei nomi esistente basato su server DNS non dinamici, è possibile delegare i sottodomini usati dai record di localizzatore (record SRV) in modo che possano essere usati gli aggiornamenti dinamici (come da RFC 2136). attenersi alla seguente procedura:
Nel server DNS non dinamico autorevole per la zona con il nome del dominio active directory delegare le zone seguenti a un server basato su Windows 2000 che esegue DNS:
_Udp. DNSDomainName
_Tcp. DNSDomainName
_Siti. DNSDomainName
_msdcs. DNSDomainNameAd esempio, se la zona radice è denominata
reskit.com
, delegato_udp.reskit.com
,_tcp.reskit.com
,_sites.reskit.com
e_msdcs.reskit.com
al server basato su Windows.È necessario delegare anche due sottodomini aggiuntivi:
ForestDnsZones. ForestDNSName
DomainDnsZones. DNSDomainNameNel server basato su Windows creare le zone di inoltro delegate nel passaggio 1 e abilitare le zone per l'aggiornamento dinamico.
Per creare le nuove zone:
Avviare Gestione DNS nel server Windows.
Espandere il server DNS appropriato in Gestione DNS.
Fare clic con il pulsante destro del mouse sulla cartella Zone di ricerca diretta e quindi scegliere Nuova zona.
All'avvio della Creazione guidata nuova zona, fare clic su Avanti, selezionare "Zona primaria" e selezionare la casella di controllo Archivia la zona in Active Directory e quindi fare clic su Avanti.
Per le zone integrate in Active Directory, selezionare la posizione in cui devono essere visualizzati i dati della zona, a tutti i server DNS nel dominio o nella foresta o a tutti i dcs nel dominio (solo opzione in Windows 2000).
Digitare il nome della zona nella casella del nome. Ad esempio, digitare _msdcs.reskit.com.
Fare clic su Avanti. Dopo aver esaminato il riepilogo della procedura guidata, fare clic su Fine.
Per consentire alla zona di accettare gli aggiornamenti dinamici:
- Usando Gestione DNS nel server Windows che esegue DNS, fare clic con il pulsante destro del mouse sulla nuova zona, scegliere Proprietà e quindi fare clic sulla scheda Generale.
- Nella casella Consenti Aggiornamenti dinamica fare clic su Solo Aggiornamenti sicuro (scelta consigliata) o Sì. L'opzione Only Secure Aggiornamenti è disponibile solo dopo che il server è stato promosso a controller di dominio. Ripetere questo processo fino a quando non sono state create tutte e quattro le zone descritte nel passaggio 1 e non sono stati consentiti gli aggiornamenti dinamici. In questo modo i record del localizzatore del controller di dominio possono essere registrati in modo dinamico e deregistrati in DNS.
Inoltre, è possibile creare e configurare una singola zona o più zone per consentire ai client e ai server di registrarsi dinamicamente con il server Windows. Ad esempio, una zona denominata
dynamic.reskit.com
può essere usata per registrare tutti i client e i server in una rete tramite aggiornamenti dinamici. Per configurare una zona di questo tipo:- Nel server DNS non dinamico autorevole per la zona padre ,ad esempio ,
reskit.com
delegare una nuova zona al server basato su Windows che esegue DNS. Ad esempio, delegare l'oggettodynamic.reskit.com
. zona al server Windows. - Nel server Windows creare una zona di ricerca diretta per la zona delegata precedente (
dynamic.reskit.com
). - Nel server Windows abilitare le zone per gli aggiornamenti dinamici.
- Nel server DNS non dinamico autorevole per la zona padre ,ad esempio ,
All'avvio dei controller di dominio Windows, il servizio Netlogon tenta di registrare diversi record SRV nella zona autorevole. Poiché le zone in cui devono essere registrati i record SRV sono state delegate (nei passaggi 1 e 2) a un server Windows in cui possono essere aggiornate dinamicamente, queste registrazioni avranno esito positivo. Inoltre, un controller di dominio tenterà di registrare i record A elencati nel file Netlogon.dns nella zona radice ,ad esempio
reskit.com
. In questo caso, poiché la zona radice si trova in un server DNS non dinamico, questi aggiornamenti non avranno esito positivo. Nel log di sistema del controller di dominio verrà generato l'evento seguente:Tipo evento: Avviso
Origine evento: NETLOGON
Categoria di eventi: Nessuna
ID evento: 5773
Date: <DateTime>
Ora: <DateTime>
Utente: N/D
Computer: DC
Descrizione:
Il server DNS per questo controller di dominio non supporta DNS dinamico. Aggiungere i record DNS dal file %SystemRoot%\System32\Config\netlogon.dns al server DNS che serve il dominio a cui si fa riferimento in tale file.Per correggere questo comportamento:
Ogni controller di dominio Windows ha un file Netlogon.dns che si trova nella cartella %SystemRoot%\System32\Config. Questo file contiene un elenco di record DNS che il controller di dominio tenterà di registrare all'avvio del servizio Netlogon. È consigliabile creare una copia di questo file prima di apportare le modifiche seguenti in modo da avere un elenco dei record originali che il controller di dominio tenta di registrare nel server DNS. Si noti che ogni controller di dominio avrà record diversi perché questi record sono specifici di ogni scheda di rete in ogni controller di dominio. Esaminare il file Netlogon.dns per identificare tutti i record A nel file. È possibile identificare i record A in base al tipo di record seguendo il descrittore di classe "IN". Ad esempio, le due voci seguenti sono record A:
reskit.com
. 600 IN A 10.10.10.10
gc._msdcs.reskit.com
. 600 IN A 10.10.10.10Il numero di record A nel file Netlogon.dns dipende dal numero di schede del controller di dominio, dal numero di indirizzi IP con cui è stata configurata ogni scheda e dal ruolo del controller di dominio. Registrazione controller di dominio:
- Un record A per ogni indirizzo IP per il nome del dominio.
- Se il controller di dominio è anche un server di catalogo globale (GC), registra gc._msdcs. DnsForestName per ognuno dei relativi indirizzi IP.
Poiché il server DNS non dinamico non accetta i tentativi del controller di dominio di registrare dinamicamente i record A, i record A devono essere configurati manualmente nel server DNS autorevole (nell'esempio in questo articolo, il server DNS autorevole per la zona
reskit.com
). L'aggiunta del record A corrispondente al nome del dominio , ad esempio ,reskit.com
non è necessaria per la distribuzione di Windows e può essere necessaria solo se i client LDAP di terze parti che non supportano i record DNS SRV cercano i controller di dominio Windows.Nel server Windows creare i record A specifici del server GC identificati nel passaggio A, nella zona appropriata. Ad esempio, creare un record A per il server GC nella zona _msdcs.reskit.com.
Nel server DNS non dinamico autorevole per la radice della zona creare record A nella zona radice ,ad esempio ,
reskit.com
per i record A non specifici del server GC identificati nel passaggio A. Ad esempio, creare un record A perreskit.com
nellareskit.com
zona.La chiave del Registro di sistema seguente deve essere usata per disabilitare il controller di dominio dal tentativo di registrare i record A visualizzati nel file Netlogon.dns. Impostare il valore REG_DWORD RegisterDnsARecords su 0 (zero) in:
HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Per correggere questo comportamento: dopo aver creato una foresta e un dominio di Active Directory, è necessario integrare Active Directory con i domini DNS di cui è responsabile il server Windows che esegue DNS. È inoltre necessario riconfigurare le zone configurate per accettare gli aggiornamenti dinamici per accettare solo aggiornamenti dinamici sicuri.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per