В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Новые групповые политики для DNS в Windows Server 2003

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 294785
Аннотация
Windows Server 2003 устраняет проблемы централизованное управление DNS путем введения групповой политики для настройки DNS-клиентов. Например в Windows Server 2003 доступны следующие параметры:
  • Включение и отключение динамической регистрации DNS recordsby клиента
  • Настройка списка поиска суффиксов DNS для клиентов
  • Регрессирование основного DNS-суффикса в resolutionprocess имя
  • Список поиска суффиксов DNS
Эти групповые политики могут применяться на DNS-клиенты на компьютерах под управлением операционных систем Microsoft Windows 2000 или Windows XP. Применение групповых политик на другие серверы под управлением Windows Server 2003, необходимо экспортировать групповых политик с основного сервера и импортировать их на других серверах под управлением Windows Server 2003.

Дополнительные сведения о том, как экспортировать и импортировать групповых политик с помощью консоли управления групповыми политиками в Windows Server 2008 посетите официальный документ операций групповой Политики на следующем узле Microsoft TechNet Web:
Дополнительная информация
Эти групповые политики находятся по следующему адресу:
Конфигурации/административные шаблоны/сеть/DNS клиентского компьютера
Групповая политика всегда имеет приоритет над локальной конфигурацией, а также над конфигурацией DHCP. Единственным исключением из этого правила является отключение динамической DNS-регистрации, если значение REG_DWORD DoNotUseGroupPolicyForDisableDynamicUpdate включено в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Если это значение существует и имеет значение 0x1, службы не используйте значение групповой политики; Вместо этого они используют локально настроенные значения. Если DoNotUseGroupPolicyForDisableDynamicUpdate не существует или имеет значение 0x0, службы должны использовать значение, указанное с помощью групповой политики.

Описание политики

В этом разделе описаны функции параметров, реестра, который изменяется на клиенте и допустимые значения для политики и раздела реестра. Эти значения сохраняются на клиент является следующий раздел реестра:
HKEY_LOCAL_MACHINE\Software\Polices\Microsoft\Windows NT\DNSClient

Основной DNS-суффикс

Этот параметр определяет основной DNS-суффикс для группы компьютеров. Основной DNS-суффикс используется в регистрации имени DNS и разрешения имен DNS. Этот параметр указывает основной DNS-суффикс для группы компьютеров и запрещает пользователям, включая администраторов, изменять его.

Если этот параметр отключен или не настроен, все компьютеры используют его локальный основной DNS-суффикс, обычно является DNS-имя домена Active Directory, который присоединен к. Однако администраторы могут использовать средство «Система» панели управления для изменения основного DNS-суффикса компьютера.

Чтобы использовать этот параметр, введите весь основной DNS-суффикс, который требуется назначить в текстовом поле (например, предоставленные Microsoft.com). Эта политика не отключает диалоговое DNS-суффикс и NetBIOS-имя компьютера , которое администраторы используют для изменения основного DNS-суффикса компьютера. Однако если администратор введет суффикс, этот суффикс игнорируется, когда этот параметр включен.

Внимание: этот параметр, чтобы применить изменения, необходимо перезапустить Windows Server на всех компьютерах, на которые влияет этот параметр.

Совет: Чтобы изменить основной DNS-суффикс компьютера без установки политики, щелкните значок Система на панели управления, перейдите на вкладку Сетевая идентификация , нажмите кнопку Свойства, нажмите кнопку Дополнительно, а затем введите суффикс в поле основной DNS-суффикс этого компьютера .

Динамическое обновление

Этот параметр определяет, включена ли динамическое обновление. Компьютеры, настроенные на динамическое обновление, автоматически регистрируют и обновляют свои записи ресурсов DNS на DNS-сервере.

Если этот параметр включен, компьютеры, к которым применяется эта политика могут использовать динамическую DNS-регистрацию на каждом из своих сетевых подключений, в зависимости от настройки каждого конкретного сетевого подключения. Чтобы динамическая DNS-регистрация могла быть включена на конкретном сетевом подключении конкретного компьютера и подключения необходимо поддерживали динамическую DNS-регистрацию.

Параметр Динамического обновления определяет свойство компьютера, управляющее динамической регистрации DNS. Если этот параметр включен, разрешить динамическое обновление должно устанавливаться отдельно для каждого из сетевых подключений. Если этот параметр отключен, компьютеры, к которым применяется эта политика не могут использовать динамическую DNS-регистрацию для любого из своих сетевых подключений, независимо от настройки отдельных сетевых подключений. Если эта политика не задана, затем она не применяется ни к каким компьютерам и компьютеры используют свои локальные настройки.

Эта политика может иметь два значения: 0x0 и 0x1. Если политика включена (для включения динамического обновления), является значение 0x1. Если политика отключена, используется значение 0x0.

Список поиска суффиксов DNS

Этот параметр определяет, какие DNS-суффикс для присоединения неполное однокомпонентное имя перед отправкой запроса DNS для этого имени. Неполное однокомпонентное имя не содержит разделяющих точек, например «example». Это имя отличается от полное доменное имя (FQDN), например, «example.microsoft.com».

Если эта политика включена, когда пользователь отправляет запрос для однокомпонентного имени, например «example», локальный, DNS-клиент присоединяет суффикс, например «с microsoft.com». В результате запроса изменяется на «с example.microsoft.com» перед отправкой запроса на DNS-сервер.

Если включен Список поиска DNS-суффиксов DNS-суффиксы для присоединения перед отправкой запроса на неполное однокомпонентное имя можно указать. Значения DNS-суффиксы в этот параметр может быть задан с помощью строки, разделенных запятыми, например "с microsoft.com,serverua.microsoft.com,office.microsoft.com". Один DNS-суффикс присоединяется при каждой отправке запроса. Если запрос завершается неудачно, вместо неудачных суффикс добавляется новый DNS-суффикс и отправить новый запрос. Значения используются в том порядке, в котором они появляются в строке, слева направо.

Если этот параметр включен, необходимо указать по крайней мере один суффикс. Если этот параметр отключен, основного DNS-суффикса и DNS-суффикс подключения добавляются к неквалифицированным запросам. Если эта политика не задана, она не применяется ни к каким компьютерам, и компьютеры используют свои локальные настройки. Эта политика может быть значение строки запятыми DNS-суффиксов. Если эта политика включена должен быть хотя бы один указанный DNS-суффикс.

Эта политика может быть значение строки запятыми DNS-суффиксов. Не используйте пробелы между DNS-суффиксов, разделенных запятыми. Если добавить пробелы будут применены только первый DNS-суффикс.

Регрессирование основного DNS-суффикса

Этот параметр определяет, будет ли DNS-клиент выполняет регрессирование основного DNS-суффикса в процесс разрешения имен. Когда пользователь отправляет запрос для однокомпонентного имени, например «example», локальный DNS-клиент присоединяет суффикс, например «с microsoft.com». В результате запроса изменяется на «с example.microsoft.com» перед отправкой запроса на DNS-сервер.

Если не указан список поиска суффиксов DNS, затем DNS-клиент присоединяет основной DNS-суффикс к однокомпонентному имени и, если запрос неудачен, зависящих от подключения DNS-суффикс присоединяется для нового запроса. Если ни один из этих запросов не разрешены, затем клиент выполняет регрессирование основного DNS-суффикса компьютера (отбрасывает левая метка основного DNS-суффикса), присоединяет этот укороченный основной DNS-суффикс к однокомпонентному имени, а затем отправляет запрос на DNS-сервере.

For example, if the primary DNS suffix "ooo.aaa.microsoft.com" is attached to the non-dot terminated single-label name "example", and the DNS query for example.ooo.aaa.reskit.com fails, the DNS client devolves the primary DNS suffix (drops the left label), and submits a query for example.aaa.microsoft.com. Если запрос неудачен, основной DNS-суффикс регрессироваться и отправляется запрос «example.microsoft.com». Если запрос неудачен, регрессирование продолжается, и отправить запрос «example.microsoft.com». Основной DNS-суффикс не регрессироваться так как DNS-суффикс имеет две метки «с microsoft.com». Основной DNS-суффикс не может быть регрессирован дальше, меньше, чем две метки.

Если этот параметр включен, DNS-клиенты на компьютерах, к которым применяется эта политика попытка разрешения имен, присоединяя однокомпонентное имя будет разрешаться и укороченный основной DNS-суффикс. Если этот параметр отключен, DNS-клиенты на компьютерах, к которым применяется эта политика не пытайтесь разрешения имен, присоединяя однокомпонентное имя разрешения и укороченный основной DNS-суффикс. Если эта политика не задана, она не применяется ни к каким компьютерам и компьютеры используют свои локальные настройки. Эта политика может иметь два значения: 0x0 и 0x1. Если политика включена (клиент хочет включить регрессирование), является значение 0x1. Если политика отключена, используется значение 0x0.

Регистрация PTR-записей

Этот параметр определяет, включена ли регистрация PTR-записей ресурсов для компьютеров, к которым применяется эта политика. По умолчанию DNS-клиенты, настроенные на выполнение динамической регистрации DNS пытаются регистрировать PTR-записи ресурсов только если они успешно зарегистрировали соответствующую «» запись ресурса. "-Записи ресурсов сопоставляют имя DNS IP-адрес узла и PTR-записей ресурсов сопоставить IP-адрес узла для DNS-имени узла.

Чтобы включить эту политику, выберите Включитьи выберите одно из следующих значений:
  • Не удалось зарегистрировать: при использовании это значение, компьютеры никогда не пытаются регистрировать PTR-записи ресурсов.
  • Регистрация: при использовании это значение, компьютеры пытаются recordsregistration ресурса PTR независимо от успеха A recordsregistration.
  • Регистрировать только если registrationsucceeds записи: при использовании это значение, компьютеры пытаются регистрировать PTR resourcerecords только в том случае, если они успешно зарегистрировали соответствующие записи Aresource.
Если эта политика не задана, она не применяется ни к каким компьютерам, и компьютеры используют свои локальные настройки. Эта политика может иметь два значения: 0x0 и 0x1. Если политика включена (клиент хочет включить регистрировать PTR-записи), является значение 0x1. Если политика отключена, используется значение 0x0.

Интервал обновления регистрации

Этот параметр задает интервал обновления регистрации A и PTR-записей ресурсов для компьютеров, к которым применяется этот параметр. Этот параметр может применяться к компьютерам, использующим динамическое обновление только. Компьютеры под управлением Windows 2000 (и его более поздние версии), настроенные на выполнение динамической регистрации DNS A и PTR-записей, периодически перерегистрируют свои записи на DNS-серверах, даже если данные их записей не изменились. Эта процедура перерегистрация необходим для указания DNS-серверов, которые настроены на автоматическое удаление (очистку) устаревших записей, что эти записи являются действующими и должны быть сохранены в базе данных.

Предупреждение: Если записи ресурсов DNS зарегистрированы в зонах, которые имеют функцию очистки включен, значение этого параметра не должно быть больше, чем интервал обновления, настроенный для этих зон. Если интервал обновления регистрации присвоено значение, которое больше, чем интервал обновления DNS-зон, некоторых ресурсов A и PTR записи может автоматически удаляется.

Чтобы указать интервал обновления регистрации, нажмите кнопку Включитьи введите значение, большее, чем 1800. Помните, что это значение задает интервал обновления регистрации в секундах, например, 1800 секунд составляют 30 минут.

Если эта политика не задана, она не применяется ни к каким компьютерам, и компьютеры используют свои локальные настройки. Эта политика может иметь любое значение больше или равно 1800 секунд.

Заменять адреса при конфликтах

Этот параметр определяет, будет ли DNS-клиент, пытающийся зарегистрировать свою A-запись ресурса, перезаписать существующую записей ресурсов, которые содержат конфликтующие IP-адреса. Этот параметр предназначен для компьютеров, которые регистрируют ресурса записей в DNS-зонах, не поддерживающих безопасное динамическое обновление. Безопасное динамическое обновление сохраняет владельца записей ресурсов и не позволяет DNS-клиенту перезаписывать записи, зарегистрированные другими компьютерами.

Во время динамического обновления зоны, не поддерживающей безопасного динамического обновления DNS-клиент может обнаружить, что уже существует запись ресурса связывает клиента DNS-имя с IP-адресом другого компьютера. По умолчанию DNS-клиент пытается заменить существующую запись ресурса на запись ресурса A, которая связывает DNS-имя с IP-адреса клиента.

При включении параметра Замены адресов в случае конфликтов , DNS-клиенты пытаются заменять конфликтующие записи ресурсов во время динамического обновления. Если этот параметр отключен, DNS-клиент по-прежнему выполняет динамическое обновление записей ресурсов, но если DNS-клиент попытается обновить ресурс записи, содержащие конфликты, эта попытка завершится неудачей и сообщение об ошибке регистрируется в журнале средства просмотра событий. Если эта политика не задана, она не применяется ни к каким компьютерам, и компьютеры используют свои локальные настройки.

Эта политика может иметь два значения: 0x0 и 0x1. Если политика задана для включения (например, клиент хочет заменить записи A в конфликте), является значение 0x1. Если политика отключена, используется значение 0x0.

DNS-серверы

Этот параметр определяет DNS-серверы, к которым компьютер посылает запросы на разрешение имен.

Предупреждение: список DNS-серверов, указанный в этом параметре, заменяет DNS-серверы, настроенные локально и тех, которые настроены с помощью DHCP. Список DNS-серверов применяется для всех сетевых подключений многосетевых компьютеров, к которым применяется этот параметр.

Чтобы использовать этот параметр, нажмите кнопку Включитьи введите в поле Доступные перечень IP-адресов (в точечно-десятичном формате). Если этот параметр включен, необходимо ввести по крайней мере один IP-адрес.

Если эта политика не задана, затем она не применяется ни к каким компьютерам и компьютеры используют свои локальные или настроенные DHCP параметры. Допустимые значения: перечень точками десятичные IP-адреса. Список должен содержать по крайней мере один IP-адрес.

Зависящие от подключения DNS-суффикс

Этот параметр задает DNS-суффикс подключения. Эта политика подавляет DNS-суффиксы подключения, установленные на компьютерах, для которых применяется эта политика, настроенные локально и, настроенные с помощью DHCP.

Предупреждение: DNS-суффикс подключения, указанный в этом параметре применяется для всех сетевых подключений многосетевых компьютеров, к которым применяется этот параметр.

Чтобы использовать этот параметр, нажмите кнопку Включитьи введите строковое значение, представляющее DNS-суффикс в поле «доступен». Если эта политика не задана, она не применяется ни к каким компьютерам и компьютеры используют свои локальные или параметры конфигурации DHCP. Допустимые значения: строка символов — DNS-суффикс подключения.

Регистрировать DNS-записи с DNS для подключения суффикс

Этот параметр определяет, если компьютер, выполняющий динамическую регистрацию может зарегистрировать записи ресурсов A и PTR объединение имени компьютера и DNS-суффикс подключения, в дополнение к регистрации этих записей со сцеплением имени компьютера и основного DNS-суффикса.

Предупреждение: при включении этого параметра группы она применяется для всех сетевых подключений многосетевых компьютеров, к которым применяется этот параметр.

По умолчанию DNS-клиент, выполняющий динамическую регистрацию DNS регистрирует записи ресурсов A и PTR объединение имени компьютера и основного DNS-суффикса. Например объединение имени компьютера, например, "Мой компьютер" и основной DNS-суффикс, например "microsoft.com" результат "с mycomputer.microsoft.com".

Если этот параметр включен, компьютер регистрирует записи ресурсов A и PTR его подключения DNS-суффикс в дополнение к регистрации записей ресурсов A и PTR с основного DNS-суффикса. Для примера, это объединение имени компьютера «Мой компьютер» и зависящие от подключения DNS суффикс «VPNconnection» используется, когда ресурсов A и PTR записи регистрируются, полученное в результате имя — "mycomputer. VPNconnection". Если динамическая регистрация DNS отключена на компьютере, к которому применяется данный параметр, то, независимо от значения параметра, компьютер не будет пытаться выполнить динамическую регистрацию DNS A и PTR-записей, содержащих объединение имени компьютера и DNS-суффикс подключения. Если динамическая регистрация DNS отключена на конкретном сетевом подключении компьютера, к которым применяется этот параметр, то независимо от значения параметра, компьютер будет пытаться выполнить динамическую регистрацию DNS A и PTR-записей, содержащих объединение имени компьютера и зависящие от подключения DNS-суффикс для данного сетевого подключения.

Если этот параметр отключен, DNS-клиент не регистрирует записи ресурсов A и PTR с DNS-суффиксом подключения. Если эта политика не задана, она не применяется ни к каким компьютерам, и компьютеры используют свои локальные настройки.

Если политика для включения (например, клиент хочет зарегистрировать имя DNS-суффикс подключения), является значение 0x1. Если политика отключена, используется значение 0x0.

Набор TTL A и PTR записи

Этот параметр задает значение поля срока жизни (TTL) A и PTR-записей ресурсов, зарегистрированных компьютерами, к которым применяется этот параметр.

Чтобы задать TTL, выберите Включить, а затем введите значение в секундах (например, значение 900 соответствует 15 минутам).
  • Минимальное значение: 0
  • Максимальное значение: 4294966296
  • Значение по умолчанию: 600
Если эта политика не задана, она не применяется к любому компьютеру.

Уровень безопасности обновления

Этот параметр указывает, используют ли компьютеры, к которым применяется эта политика безопасные динамические обновления или стандартные динамические обновления для регистрации DNS-записей.

Примечание Этот параметр на стороне клиента не зависит от параметра на полномочный DNS-сервер. Тем не менее этот параметр является обязательным только в том случае, если клиенты регистрировать свои записи в Active Directory зону, равное небезопасные и безопасные обновления.

Чтобы включить этот параметр, нажмите кнопку Включитьи выберите одно из следующих значений:
  • Следуют безопасного небезопасные: Если вы choosethis вариант, компьютеры посылают безопасные динамические обновления только тогда, когда dynamicupdates небезопасные отклоняются.
  • Только небезопасные: Если выбран этот параметр, компьютеры посылают только обновления не securedynamic
  • Только безопасные: Если выбран этот параметр, компьютеры посылают только безопасные dynamicupdates
Если Уровень безопасности обновления параметр не задан, он не применяется ни к каким компьютерам и компьютеры используют свои локальные настройки.
  • OnlySecure: 256
  • OnlyUnsecure: 16
  • UnsecureFollowedBySecure: 0

Обновлять зоны доменов верхнего уровня

Этот параметр определяет, могут ли компьютеры, к которым применяется эта политика отправлять динамические обновления для зон с однокомпонентным именем, также известный как «домена верхнего уровня» зоны, например «com».

По умолчанию DNS-клиент, настроенный на выполнение динамических обновлений DNS отправлять динамические обновления в зоны DNS, являющиеся официальными для записей ресурсов DNS, если удостоверяющую зону верхнего уровня домена или корневой зоной.

Если эта политика включена, компьютеры, к которым применяется эта политика отправляют динамические обновления к любой зоне полномочным для записей ресурсов, которые требуется обновить, за исключением корневой зоны.

Если эта политика отключена, компьютеры, к которым применяется эта политика не отправляют динамические обновления в зоны уровня домена корня или вершины полномочным для записей ресурсов, которые требуется обновить.

Если эта политика не задана, она не применяется ни к каким компьютерам, и компьютеры используют свои локальные настройки.

Эта политика может иметь два значения: 0x0 и 0x1. Если политика включена, используется значение 0x1. Если политика отключена, используется значение 0x0.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 294785 — последний просмотр: 01/09/2016 08:09:00 — редакция: 6.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbdownload kbenv kbinfo kbmt KB294785 KbMtru
Отзывы и предложения