Windows DNS integreren in een bestaande DNS-naamruimte

In dit artikel wordt beschreven hoe u Windows DNS integreert in een organisatie die al een DNS-naamruimte heeft geïmplementeerd waarin de DNS-server die gezaghebbend is voor de zone met de naam van het Active Directory-domein geen ondersteuning biedt voor RFC 2136 (dynamische updates).

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 255913

Samenvatting

Een functie van Windows Domain Name System (DNS) is de ondersteuning voor dynamische hostupdates (beschreven in RFC 2136). Om van deze functie te profiteren, kan Windows DNS worden geïmplementeerd in omgevingen die geen andere DNS-servers hebben, evenals in omgevingen waarop al niet-dynamische DNS-servers zijn geïmplementeerd (zoals BIND 4.9.7 en eerder, enzovoort). Wanneer u Windows DNS implementeert in een omgeving waarin AL BIND-servers zijn geïmplementeerd, hebt u verschillende integratieopties:

• Zones migreren van niet-dynamische gezaghebbende DNS-servers naar servers met Windows DNS.
• Onderliggende DNS-domeinen delegeren onder een bovenliggend DNS-domein. Voor Active Directory-domeinnamen die niet dezelfde naam hebben als de hoofdmap van een zone, delegeert u het subdomein naar Windows DNS. Als de naam van het Active Directory-domein bijvoorbeeld is dev.reskit.com en de zone die deze naam bevat, delegeert dev.reskit.comreskit.comu naar een Windows-server waarop DNS wordt uitgevoerd.
• Delegeer elk van de subdomeinen die worden gebruikt door de domeincontroller (DC)-locatorrecords (SRV-records) naar een Windows-server. Deze subdomeinen zijn _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.comen _udp.reskit.com. Deze optie wordt gebruikt wanneer Active Directory-domeinnamen (bijvoorbeeld reskit.com) die hetzelfde zijn als de naam van de hoofdmap van een zone (bijvoorbeeld reskit.com), niet rechtstreeks kunnen worden gedelegeerd aan een Windows-server waarop DNS wordt uitgevoerd. Optioneel kunnen clients lid zijn van het Active Directory-domein met de naam reskit.com, maar kunnen ze zich registreren in de DNS-zone met de naam dynamic.reskit.com.

In dit artikel wordt de vierde optie beschreven die hierboven wordt vermeld, het integreren van Windows DNS in een organisatie die al een DNS-naamruimte heeft geïmplementeerd waarin de DNS-server die autoriserend is voor de zone met de naam van het Active Directory-domein RFC 2136 (dynamische updates) niet ondersteunt. In dit artikel wordt ook een scenario besproken waarin domeinleden een primair DNS-achtervoegsel gebruiken dat verschilt van de naam van het Active Directory-domein om dynamische registratie van DNS-records door Windows-computers toe te staan wanneer de DNS-server die voor de zone met de naam van het Active Directory-domein is gemachtigd, geen ondersteuning biedt voor dynamische DNS-updates.

Meer informatie

Als u Windows DNS wilt integreren in een bestaande naamruimte op basis van niet-dynamische DNS-servers, kunt u de subdomeinen die worden gebruikt door de locatorrecords (SRV-records) delegeren, zodat dynamische updates (volgens RFC 2136) kunnen worden gebruikt. Volg deze stappen:

1. Op de niet-dynamische DNS-server die gezaghebbend is voor de zone met de naam van het Active Directory-domein, delegeert u de volgende zones naar een Windows 2000-server waarop DNS wordt uitgevoerd:

   _Udp. DNSDomainName
   _Tcp. DNSDomainName
   _Sites. DNSDomainName
   _msdcs. DNSDomainName

   Als de hoofdzone bijvoorbeeld is aangeroepenreskit.com, delegeren_udp.reskit.com, _sites.reskit.com_tcp.reskit.com, en _msdcs.reskit.com naar de Windows-server.

   U moet ook twee extra subdomeinen delegeren:

   Forestdnszones. ForestDNSName
   Domaindnszones. DNSDomainName

2. Maak op de Windows-server de doorstuurzones die in stap 1 zijn gedelegeerd en schakel de zones voor dynamische updates in.

   Ga als volgt te werk om de nieuwe zones te maken:

   1. Start DNS-beheer op de Windows-server.

   2. Vouw de juiste DNS-server uit in DNS-beheer.

   3. Klik met de rechtermuisknop op de map Zones voor forward lookup en klik vervolgens op New Zone.

   4. Wanneer de wizard Nieuwe zone wordt gestart, klikt u op Volgende, selecteert u 'Primaire zone' en selecteert u misschien het selectievakje De zone opslaan in Active Directory en klikt u vervolgens op Volgende.

   5. Voor met AD geïntegreerde zones selecteert u waar de zonegegevens naartoe moeten, naar alle DNS-servers in het domein of forest, of naar alle DCS in het domein (alleen optie in Windows 2000).

   6. Typ de naam van de zone in het naamvak. Typ bijvoorbeeld _msdcs.reskit.com.

   7. Klik op Volgende. Nadat u het overzicht van de wizard hebt bekeken, klikt u op Voltooien.

   Ga als volgende te werk om de zone in te schakelen voor het accepteren van dynamische updates:

   1. Gebruik DNS-beheer op de Windows-server waarop DNS wordt uitgevoerd, klik met de rechtermuisknop op de nieuwe zone, klik op Eigenschappen en klik vervolgens op het tabblad Algemeen.
   2. Klik in het vak Dynamische Updates toestaan op Alleen beveiligd Updates (aanbevolen) of Ja. De optie Alleen beveiligd Updates is alleen beschikbaar nadat de server is gepromoveerd tot een domeincontroller. Herhaal dit proces totdat alle vier de zones die in stap 1 worden beschreven, zijn gemaakt en dynamische updates zijn toegestaan. Hierdoor kunnen locatorrecords van domeincontrollers dynamisch worden geregistreerd en ongedaan worden gemaakt in DNS.

3. Bovendien kan één zone of meerdere zones worden gemaakt en geconfigureerd om clients en servers toe te staan zichzelf dynamisch te registreren bij de Windows-server. Een zone met de naam dynamic.reskit.com kan bijvoorbeeld worden gebruikt om alle clients en servers in een netwerk te registreren via dynamische updates. Een dergelijke zone configureren:

   1. Op de niet-dynamische DNS-server die gezaghebbend is voor de bovenliggende zone (bijvoorbeeld reskit.com), delegeert u een nieuwe zone naar de Windows-server waarop DNS wordt uitgevoerd. Delegeer bijvoorbeeld de dynamic.reskit.com. zone naar de Windows-server.
   2. Maak op de Windows-server een zone voor forward lookup voor de zone die hierboven is gedelegeerd (dynamic.reskit.com).
   3. Schakel op de Windows-server de zone(s) in voor dynamische updates.

4. Wanneer Windows-domeincontrollers worden opgestart, probeert de Netlogon-service verschillende SRV-records te registreren in de gezaghebbende zone. Omdat de zones waarin de SRV-records moeten worden geregistreerd, (in stap 1 en 2) zijn gedelegeerd aan een Windows-server waar ze dynamisch kunnen worden bijgewerkt, slagen deze registraties. Daarnaast probeert een DC de A-record(s) te registreren die worden vermeld in het bestand Netlogon.dns in de hoofdzone (bijvoorbeeld reskit.com). In dit geval slagen deze updates niet omdat de hoofdzone zich op een niet-dynamische DNS-server bevindt. De volgende gebeurtenis wordt gegenereerd in het systeemlogboek op de DC:

   Gebeurtenistype: Waarschuwing
   Gebeurtenisbron: NETLOGON
   Gebeurteniscategorie: Geen
   Gebeurtenis-id: 5773
   Datum: <DateTime>
   Tijd: <DateTime>
   Gebruiker: N.b.
   Computer: DC
   Beschrijving:
   De DNS-server voor deze DC biedt geen ondersteuning voor dynamische DNS. Voeg de DNS-records uit het bestand %SystemRoot%\System32\Config\netlogon.dns toe aan de DNS-server voor het domein waarnaar in dat bestand wordt verwezen.

   Ga als volgt te werk om dit gedrag te corrigeren:

   1. Elke Windows DC heeft een Netlogon.dns-bestand in de map %SystemRoot%\System32\Config. Dit bestand bevat een lijst met DNS-records die de DC probeert te registreren wanneer de Netlogon-service wordt gestart. Het is een goed idee om een kopie van dit bestand te maken voordat u de volgende wijzigingen aanbrengt, zodat u een lijst hebt met de oorspronkelijke records die de DC probeert te registreren bij de DNS-server. Houd er rekening mee dat elke DC verschillende records heeft, omdat deze records specifiek zijn voor elke netwerkadapter op elke DC. Bekijk het bestand Netlogon.dns om alle A-records in het bestand te identificeren. U kunt A-records herkennen aan het recordtype na de beschrijving van de klasse 'IN'. De volgende twee vermeldingen zijn bijvoorbeeld A-records:

      reskit.com. 600 IN A 10.10.10.10
      gc._msdcs.reskit.com. 600 IN A 10.10.10.10

      Het aantal A-records in het bestand Netlogon.dns is afhankelijk van het aantal adapters dat de DC heeft, het aantal IP-adressen waarmee elke adapter is geconfigureerd en de rol van de domeincontroller. DC's registreren:

      • Eén A-record per ip-adres voor de naam van het domein.
      • Als de DC ook een GC-server (Global Catalog) is, wordt gc._msdcs geregistreerd. DnsForestName voor elk van de IP-adressen.

   2. Omdat de niet-dynamische DNS-server de pogingen van de domeincontroller om de A-records dynamisch te registreren niet accepteert, moeten de A-records handmatig worden geconfigureerd op de gezaghebbende DNS-server (in het voorbeeld in dit artikel is de DNS-server gezaghebbend voor de zone reskit.com). Toevoeging van de A-record die overeenkomt met de naam van het domein (bijvoorbeeld reskit.com) is niet vereist voor de Windows-implementatie en is mogelijk alleen nodig als ldap-clients van derden die geen ondersteuning bieden voor SRV DNS-records, zoeken naar de Windows-DC's.

      Maak op de Windows-server de GC-serverspecifieke A-records die zijn geïdentificeerd in stap A, in de juiste zone. Maak bijvoorbeeld een A-record voor de GC-server in de zone _msdcs.reskit.com.

      Op de niet-dynamische DNS-server die gezaghebbend is voor de hoofdmap van de zone, maakt u A-records in de hoofdzone (bijvoorbeeld reskit.com) voor de niet-GC-serverspecifieke A-records die zijn geïdentificeerd in stap A. Maak bijvoorbeeld een A-record voor reskit.com in de reskit.com zone.

   3. De volgende registersleutel moet worden gebruikt om uit te schakelen dat de DC probeert de A-records te registreren die worden weergegeven in het bestand Netlogon.dns. Stel de waarde REG_DWORD RegisterDnsARecords in op 0 (nul) onder:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

5. Dit gedrag corrigeren: zodra u een Active Directory-forest en -domein hebt, moet u Active Directory integreren met de DNS-domeinen waarvoor de Windows-server met DNS verantwoordelijk is. U moet ook zones die zijn geconfigureerd om dynamische updates te accepteren opnieuw configureren om alleen beveiligde dynamische updates te accepteren.