Настроювання динамічних оновлень DNS у Windows Server 2003

Застосовується до: Windows Servers

Для Microsoft Windows 2000 версії цієї статті, див 317590 .

У ЦЬОМУ ЗАВДАННІ

Загальні відомості


У цій статті описується настроювання функції DNS оновлення, у Microsoft Windows Server 2003. Функції DNS-оновлення, дає змогу DNS-клієнтські комп'ютери для реєстрації та динамічно оновлювати свої записи ресурсів DNS-сервера, коли відбуваються зміни. Якщо використовується ця функція, можна зменшити вимоги для ручного адміністрування записів зон, особливо для клієнтів, які часто переміщення та використовувати протокол динамічного конфігурування вузла (DHCP), щоб отримати IP-адресу. Windows Server 2003 забезпечує підтримку функціональності динамічного оновлення, як описано в запиті на коментарі (RFC) 2136. Для DNS-серверів служба DNS дозволяє вмикати або вимикати функціональність оновлення DNS на основі кожної зони на кожному сервері, який налаштовано на завантаження стандартного основного або каталогу інтегрованої зони. повернутися до вершини

Функції оновлення DNS для Windows Server 2003

Служба DNS дозволяє клієнтським комп'ютерам динамічно оновлювати свої записи ресурсів у службі DNS. Під час використання цієї функції, ви поліпшення адміністрування DNS, зменшуючи час, який потрібно вручну керувати записи в зоні. Можна використовувати функцію оновлення DNS з DHCP для оновлення записів ресурсів під час змінення ІР-адреси комп'ютера. На комп'ютерах під керуванням Windows Server 2003 можна надсилати динамічні оновлення. Windows Server 2003, містить такі функції, які стосуються протоколу динамічного оновлення DNS:
  • Використання служби каталогів Active Directory як служби локатора для контролерів домену.
  • Інтеграція з Active Directory. Ви можете інтегрувати зони DNS в Active Directory для забезпечення підвищеної відмовостійкості і безпеки. Кожен Active Directory-інтегрована зона реплікується серед всіх контролерів домену в домені Active Directory. Усі DNS-сервери, які працюють на контролерах домену, можуть виступати як первинні сервери для зони та приймати динамічні оновлення. Active Directory повторює на основі на власності і розповсюдження лише відповідні зміни.
  • Старіння та прибирання записів. Служба DNS-сервера може сканувати та видаляти записи, які більше не потрібні. Якщо ввімкнути цю функцію, можна заборонити застарілі записи, що залишилися в DNS.
  • Безпечні динамічні оновлення в Active Directory-інтегровані зони. Можна настроїти інтегровані в Active Directory зони для безпечного динамічного оновлення, щоб лише уповноважені користувачі могли вносити зміни до зони або запису.
  • Адміністрування з командного рядка.
  • Розширене розпізнавання імен.
  • Розширене кешування та від'ємний кешування.
  • Сумісність з іншими реалізаціями DNS-сервера.
  • Інтеграція з іншими мережевими службами.
  • Інкрементна передача зони.
повернутися до вершини

Як комп'ютери під керуванням Windows Server 2003 оновлення їх DNS-імен

За промовчанням комп'ютери під керуванням Windows Server 2003 і статично налаштовані для протоколу TCP/IP, спробуйте динамічно зареєструвати хост-адресу (а) і вказівник (PTR) ресурсів записи для IP-адреси, які настроєно та використовується їх інстальованих мережних підключень. За промовчанням усі записи в реєстрі комп'ютера базуються на повному імені комп'ютера. Для комп'ютерів під керуванням Windows Server 2003, основне повне ім'я комп'ютера, є повне доменне ім'я (FQDN). Крім того, основне повне ім'я комп'ютера, є основним DNS-суфікс комп'ютера, який додається до імені комп'ютера. Щоб визначити основний DNS-суфікс комп'ютера та ім'я комп'ютера, клацніть правою кнопкою миші мій комп'ютер, виберіть пункт Властивості, а потім – ім'я комп'ютера. Оновлення DNS можна надсилати для будь-якої з таких причин або подій:
  • IP-адресу додано, видалено або змінено у конфігурації властивостей протоколу TCP/IP для будь-якого з установлених мережних підключень.
  • IP-адреса здавати в оренду зміни або оновлює будь-який з інстальованих мережних підключень з DHCP-сервера. Наприклад, це оновлення, що виникає під час запуску комп'ютера, або під час використання команди ipconfig/Renew .
  • За допомогою команди ipconfig/Реєстрація DNS , щоб вручну, примусове оновлення реєстрації ім'я клієнта в DNS.
  • Комп'ютер увімкнуто.
  • Рядовому сервері, буде підвищено до контролера домену.
Коли одна з цих подій запускає DNS-оновлення, служба DHCP-клієнта, а не служба DNS-клієнт, надсилає оновлення. Якщо зміни IP-адреси, що виникає через DHCP, відповідні оновлення в DNS, які виконуються для синхронізації з ім'я на адресу зіставлення для комп'ютера. Служба DHCP-клієнта виконує цю функцію для всіх мережних підключень у системі. Це стосується, підключення, які не настроєно на використання DHCP. Нотатки
  • Процес оновлення для комп'ютерів під керуванням Windows Server 2003, які використовують DHCP для отримання IP-адреси, відрізняється від процесу, описаного в цьому розділі. Щоб отримати додаткові відомості див. розділ "Інтеграція DHCP з DNS" і розділ "Windows DHCP-клієнти та DNS-протокол динамічного оновлення".
  • Процес оновлення, описане в цьому розділі припускає, що діє Windows Server 2003 інсталяції за промовчанням. Певні імена та оновлення поведінка є перебудовується під час додаткові властивості TCP/IP, налаштовані на використання параметрів DNS, не за промовчанням.
  • Крім повного імені комп'ютера або основного імені комп'ютера, можна настроїти додаткові імена DNS-імен, а також зареєструвати або оновити їх у службі DNS.
За промовчанням Windows XP та Windows Server 2003 перереєстрування записів ресурсу A та PTR кожні 24 години незалежно від ролі комп'ютера. Щоб змінити цей час, додайте запис реєстру DefaultRegistrationRefreshInterval, у розділі такий підрозділ реєстру:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters
Інтервал встановлюється в секундах. повернутися до вершини

Приклад того, як оновлення DNS працюють

Для Windows Server 2003 динамічні оновлення зазвичай просять, коли DNS-ім'я або IP-адресу, зміни на комп'ютері. Наприклад, клієнт під назвою "oldhost" спочатку настроєно у властивостях системи, мають такі імена:
Ім'я комп'ютера: OldhostDNS доменне ім'я комп'ютера: example.Microsoft.comповне ім'я комп'ютера: oldhost.example.Microsoft.com
У цьому прикладі для комп'ютера не настроєно жодних імен DNS-доменів, специфічних для підключення. Якщо перейменувати комп'ютер із "oldhost" на "ньюпост", виникає таке ім'я:
Ім'я комп'ютера: ньюдстDNS доменне ім'я комп'ютера: example.Microsoft.comповне ім'я комп'ютера: newhost.example.Microsoft.com
Після того, як ім'я зміни застосовується у властивостях системи, Windows Server 2003 пропонує перезавантажити комп'ютер. Після того, як комп'ютер перезавантажується Windows, служба DHCP-клієнта виконує такі послідовності для оновлення DNS:
  1. Служба DHCP-клієнт надсилає на початку сертифікації (ЦОА) тип запиту за допомогою DNS-ім'я домену комп'ютера. На клієнтському комп'ютері, використовує поточний FQDN комп'ютера, наприклад "newhost.example.microsoft.com", як ім'я, вказане в цьому запиті.
  2. Основний DNS-сервер зони, який містить клієнт FQDN реагує на запит типу. Для стандартних основних зон основний сервер або власник, який повертається в відповідь на запит, є фіксованою і статичним. Ім'я основного сервера завжди збігається з точним DNS-ім'ям, оскільки це ім'я відображається в записі «ім'я _ ресурсу», який зберігається в зоні. Однак, якщо в зоні, яка оновлюється каталогу інтегрований, будь-який DNS-сервер, який завантажується зони може реагувати і динамічно вставити своє ім'я як основний сервер зони у відповідь на запит.
  3. Служба DHCP-клієнта намагається звернутися до основного DNS-сервера. Клієнт обробляє у відповідь на запит на ім'я, щоб визначити IP-адресу DNS-сервера, який авторизовано як основний сервер для прийняття його ім'я. Якщо потрібно, клієнт виконує такі дії, щоб зв'язатися і динамічно оновити його основний сервер:
    1. Клієнт надсилає запит динамічного оновлення до основного сервера, який визначається у відповідь на запит. Якщо оновлення завершено успішно, не вжити додаткових дій.
    2. Якщо це оновлення не вдається, клієнт поруч надсилає запит NS-типу для ім'я зони, указаного у записі.
    3. Після того, як клієнт отримує відповідь на цей запит, клієнт надсилає запит на перший DNS-сервер, перелічених у відповідь.
    4. Після того, як запит, буде вирішено, клієнт надсилає динамічного оновлення на сервері, указаного у повернутому запис. Якщо оновлення завершено успішно, не вжити додаткових дій.
    5. Якщо це оновлення не вдається, клієнт повторює процес запит, надсилаючи до наступного DNS-сервера, перелічених у відповідь.
  4. Після того, як основний сервер, який може виконати оновлення, зв'язався, клієнт надсилає запит на оновлення та сервер обробляє його. Вміст запиту оновлення містить інструкції з додавання, і, можливо, PTR, записи ресурсів для "newhost.example.microsoft.com" і видалити ці самі типи записів для "oldhost.example.microsoft.com". ("oldhost.example.microsoft.com" це ім'я, яке було зареєстровано раніше.) Сервер також перевіряє, чи дозволено оновлення для запиту клієнта. Для стандартних первинних зон динамічні оновлення не захищено. Будь-який клієнт намагається оновити успішно. Для Active Directory-інтегровані зони оновлення захищені та виконуються за допомогою параметрів безпеки на основі каталогів.
Динамічні оновлення надсилаються або оновлюються періодично. За промовчанням комп'ютери надсилають оновлення кожні двадцять чотири години. Якщо оновлення не призводить до змін до зони, зони, залишається на його поточну версію, і не зміни, які записуються. Оновлення, які призводять до фактичної зони змін або збільшення зони передавання, відбуваються лише якщо імена або адреси фактично змінюються. Зверніть увагу Імена не видаляються з зон DNS, якщо вони стають неактивними, або якщо вони не оновлюються протягом інтервалу оновлення двадцять чотири години. DNS не використовує механізм для звільнення або до надгробних імен, хоча DNS-клієнти намагаються видалити або оновити старі записи імен під час нового імені або зміни адреси застосовується, коли служба DHCP-клієнт реєструє A і PTR записів ресурсів для комп'ютера під керуванням Windows Server 2003, клієнт використовує за промовчанням кешування часу очікування (TTL) значення 15 хвилин для хост-записів. Це значення визначає, як довго інші DNS-сервери та клієнти кешувати записи комп'ютера, коли вони включаються до відповіді запиту. повернутися до вершини

Інтеграція DHCP з DNS

З Windows Server 2003 DHCP-сервер може ввімкнути динамічні оновлення у просторі імен DNS для будь-якого клієнта, який підтримує ці оновлення. Обсяг клієнтів можна використовувати протокол динамічного оновлення DNS, щоб оновити їх ім'я на адресу відображення інформації, коли зміни, що відбуваються DHCP-адресу. (Ці відомості про зіставлення зберігаються в зонах DNS-сервера.) DHCP-сервер під керуванням Windows Server 2003 може виконувати оновлення від імені DHCP-клієнти до будь-якого DNS-сервера. повернутися до вершини

Як працюють DHCP/DNS оновлення взаємодії

DHCP-сервер можна використовувати для реєстрації та оновлення PTR та записів ресурсів від імені клієнтів, які підтримують DHCP-сервер. При цьому, потрібно використовувати додатковий DHCP параметр, клієнт FQDN параметр (параметр 81). Цей параметр дозволяє клієнту надіслати його повне доменне ім'я DHCP-сервера в пакеті DHCPREQUEST. Це дає змогу клієнту сповіщати DHCP-сервера щодо рівня сервісу, який він вимагає. Параметр FQDN включає в себе наступні шість полів:
  • Кодекс Задає код для цього параметра (81).
  • LEN Задає довжину цього параметра. (Це повинно бути як мінімум 4.)
  • Прапорці Визначає тип послуги.
  • 0 Клієнт зареєструє запис «а» (Host).
  • 1 Клієнт бажає, щоб DHCP зареєструвати запис "а" (Host).
  • 3 DHCP зареєструє запис «A» (Host) незалежно від запиту клієнта.
  • RCODE1 Задає код відповіді, який сервер надсилає клієнту.
  • RCODE2 Визначає додаткову розмежування RCODE1.
  • Доменне ім'я Задає повне доменне ім'я клієнта.
Якщо клієнт запитує зареєструвати свої записи ресурсів з DNS, клієнт відповідає за створення запиту динамічного оновлення на запит для коментарів (RFC) 2136. Після цього DHCP-сервер реєструє його PTR (вказівник) запису. Припустімо, що цей параметр, виданий кваліфікований DHCP-клієнт, наприклад, на комп'ютері з підтримкою DHCP, під керуванням Windows Server 2003, Microsoft Windows 2000 або Microsoft Windows XP. У цьому випадку параметр обробляється і інтерпретується під керуванням Windows Server 2003 DHCP-серверів, щоб визначити, як сервер ініціює оновлення від імені клієнта. Наприклад, можна використовувати будь-який із таких конфігурацій обробляти клієнтські запити:
  • DHCP-сервер реєструє та оновлює відомості про клієнта з настроєними DNS-серверами відповідно до запиту клієнта. Це конфігурація за промовчанням для серверів DHCP під керуванням Windows Server 2003 і клієнтів під керуванням Windows Server 2003, Windows 2000 або Windows XP. У цьому режимі будь-який з цих клієнтів Windows DHCP можна вказати спосіб, що сервер DHCP оновлює записи ресурсів хоста та PTR. Якщо це можливо, DHCP-сервер обробляє запит клієнта для обробки оновлень його ім'я та IP-адресу інформацію в DNS. Щоб настроїти DHCP-сервер для реєстрації відомостей про клієнта відповідно до запиту клієнта, виконайте такі дії:
    1. Відкрийте DHCP-властивості для сервера або окремої області.
    2. Перейдіть на вкладку DNS , виберіть пунктВластивості, а потім УСТАНОВІТЬ прапорець ДИНАМІЧНО оновлювати DNS A та PTR лише за потреби DHCP-клієнти.
  • DHCP-сервер завжди реєструє та оновлює відомості про клієнта з настроєними DNS-серверами. Це модифікована конфігурація, що підтримується для серверів DHCP під керуванням Windows Server 2003 і клієнтів під керуванням Windows Server 2003, Windows 2000 або Windows XP. У цьому режимі DHCP-сервер завжди виконує оновлення FQDN клієнта та орендованої IP-адреси, незалежно від того, чи клієнт попросив виконати власні оновлення. Щоб настроїти DHCP-сервер для реєстрації та оновлення відомостей про клієнта з настроєними DNS-серверами, виконайте такі дії:
    1. Відкрити DHCP-властивості для сервера
    2. Клацніть DNS, натисніть кнопку Властивості, установіть ПРАПОРЕЦЬ Увімкнути динамічні оновлення DNS відповідно до параметрів, зазначених нижче , і натисніть кнопкузавжди динамічно оновлювати DNS і PTR записів.
  • DHCP-сервер не реєструє та оновлює відомості про клієнта з настроєними DNS-серверами. Щоб використовувати цю конфігурацію, DHCP-сервер повинен бути налаштований, щоб відключити продуктивність оновлення DHCP/DNS проксвп. Під час використання цієї конфігурації, не клієнт хоста або PTR ресурсів записи оновлюються в DNS для DHCP-клієнти. Щоб настроїти сервер, щоб ніколи не оновлювати відомості про клієнта, виконайте такі дії:
    1. Відкрийте властивості DHCP для сервера DHCP або одного з його областей на DHCP-сервері під керуванням Windows Server 2003.
    2. КлацнітьDNS, натисніть кнопку Властивостіта зніміть ПРАПОРЕЦЬУвімкнути динамічні оновлення DNS відповідно до параметрів, які знаходяться нижче.
    За промовчанням оновлення завжди виконується для щойно інстальованих серверів DHCP на основі Windows 2003 Server і будь-які нові області, створені для них.
повернутися до вершини

Windows DHCP-клієнти та протокол динамічного оновлення DNS

DHCP-клієнти, які працюють під керуванням Windows Server 2003, Windows 2000, Windows XP або раніших операційних систем може взаємодіяти по-різному під час виконання операції DHCP/DNS. Наведені нижче приклади показують, як цей процес змінюється в різних випадках. повернутися до вершини

Приклад DHCP/DNS оновлення взаємодії для Windows Server 2003, під керуванням Windows 2000 і DHCP-клієнти на базі Windows XP

Клієнти під керуванням Windows Server 2003, Windows 2000 або Windows XP DHCP взаємодіють із протоколом динамічного оновлення DNS у такий спосіб:
  1. Клієнт ініціює повідомлення DHCP запит (DHCPREQUEST) на сервері. Запит включає в себе варіант 81.
  2. Сервер, повертає повідомлення DHCP підтвердження (DHCPACK) до клієнта. Клієнт надає оренду IP-адрес і включає в себе варіант 81. Якщо DHCP-сервера настроєно за промовчанням, параметр 81 повідомляє клієнта, що DHCP-сервер буде зареєструвати запис DNS PTR і клієнт зареєструвати DNS запис.
  3. Асинхронно клієнт надсилає запит DNS-оновлення до DNS-сервера для власного запису підстановки, хоста запису ресурсу.
  4. DHCP-сервер реєструє записи PTR клієнта.
повернутися до вершини

Приклад оновлення DHCP/DNS взаємодії для Windows DHCP-клієнти, які використовують версію Windows, що передує Windows Server 2003

Раніших версіях Windows DHCP-клієнти не підтримують процес динамічного оновлення DNS безпосередньо і не може безпосередньо взаємодіяти з DNS-сервера. Для цих клієнтів DHCP оновлення зазвичай обробляються таким чином:
  1. Клієнт ініціює повідомлення DHCP запит (DHCPREQUEST) на сервері. Цей запит не включає в себе параметр 81.
  2. Сервер, повертає повідомлення DHCP підтвердження (DHCPACK) до клієнта. Клієнт надає оренду IP-адрес без опції 81.
  3. Сервер надсилає оновлення DNS-сервера для клієнта, вперед, запис підстановки, хост ресурсів запис і надсилає оновлення для клієнта PTR зворотний пошук запису.
повернутися до вершини

Безпечні динамічні оновлення

Для Windows Server 2003 безпеки DNS оновлення доступне лише для зон, які інтегровані в Active Directory. Після інтеграції зони можна використовувати функції редагування списку керування доступом (ACL), доступні в оснастці DNS, щоб додати або видалити користувачів або групи з ACL для певної зони або запису ресурсу. Щоб отримати додаткові відомості, знайдіть тему ", щоб змінити безпеки для запису ресурсу" або "змінити безпеки для каталогу інтегрована зона" в довідці Windows Server 2003. За промовчанням динамічні оновлення безпеки для Windows Server 2003 DNS-серверів і клієнтів обробляється таким чином:
  1. Під керуванням Windows Server 2003 DNS-клієнти намагаються спочатку використовувати небезпечні динамічні оновлення. Якщо незахищене оновлення відхилено, клієнти намагаються використовувати безпечне оновлення. Крім того, клієнти використовують політику оновлення за промовчанням, яка дає змогу спробувати перезаписати раніше зареєстрований запис ресурсу, якщо вони спеціально не заблоковано оновленням безпеки.
  2. За промовчанням після того, як зона стає Active Directory-інтегровані, DNS-серверів під керуванням Windows Server 2003, дозволяють лише безпечні динамічні оновлення.
За промовчанням під час використання стандартного зони зберігання, служба DNS-сервер не дозволяє динамічні оновлення на його зони. Для зон, які інтегровані в каталог, або використовують стандартне сховище файлів, можна змінити зону, щоб увімкнути всі динамічні оновлення. Це дає змогу, всі оновлення буде прийнято, передаючи використання безпечних оновлень. Важливе значення Служба DHCP-сервера може виконувати реєстрацію проксі-сервера та оновлювати записи DNS для застарілих клієнтів, які не підтримують динамічні оновлення. Для отримання додаткових відомостей зверніться до розділу «використання DNS-серверів з DHCP» у довідці Windows Server 2003. Якщо використовується кілька DHCP-серверів під керуванням Windows Server 2003 у вашій мережі і якщо настроїти зони для ввімкнення лише безпечних динамічних оновлень, використовуйте оснастку Active Directory – користувачі й комп'ютери, щоб додати комп'ютери DHCP-сервера до вбудованої групи DnsUpdateProxy. При цьому всі ваші DHCP-сервери мають безпечні права для виконання оновлення проксі-сервера для будь-якого з ваших клієнтів DHCP. Щоб отримати додаткові відомості див. розділ "використання DNS-серверів з DHCP" або тему "керування групами" в довідці Windows Server 2003. Застереження Функції безпечного динамічного оновлення можуть бути скомпрометовані, якщо виконуються такі умови:
  • Ви запускаєте DHCP-сервер на контролері домену під керуванням Windows Server 2003
  • DHCP-сервер налаштовано на виконання реєстрації записів DNS від імені клієнтів.
Щоб уникнути цієї проблеми, розгортання DHCP-серверів і контролерів домену на окремих комп'ютерах або настроїти DHCP-сервер для використання спеціального облікового запису для динамічного оновлення. Для отримання додаткових відомостей зверніться до розділу «використання DNS-серверів з DHCP» у довідці Windows Server 2003. Щоб отримати додаткові відомості див. розділ "рекомендації з безпеки під час використання групи DnsUpdateProxy". повернутися до вершини

Увімкнути лише безпечні динамічні оновлення

  1. Натисніть кнопку Пуск, АдмініструваннятаклацнітьDNS.
  2. У розділі DNSдвічі клацніть відповідний DNS-сервер, двічі клацніть пункт " переслати зони пошуку " або "зворотний пошук зон", а потім клацніть правою кнопкою миші потрібну зону.
  3. Натисніть кнопку Властивості.
  4. На вкладці " загальні " переконайтеся, що тип зони є Active Directory-інтегрована.
  5. У полі динамічні оновлення виберіть пунктлише безпечне.
  6. Клацніть OK.
Зверніть увагу Функція захищеного динамічного оновлення підтримується лише для зон інтегрованих каталогів Active Directory. Якщо настроїти інший тип зони, змінити тип зони та інтегрувати зони, перш ніж захистити його для оновлення DNS. Динамічне оновлення — це розширення, сумісне з RFC, до стандарту DNS. Процес DNS-оновлення визначено в RFC 2136, "динамічні оновлення в системі доменних імен (DNS оновлення)". повернутися до вершини

Використання групи безпеки DnsUpdateProxy

Можна настроїти DHCP-сервер під керуванням Windows Server 2003 так, що він динамічно реєструє записи ресурсів хоста а та PTR від імені DHCP-клієнти. Якщо використовується Secure динамічні оновлення в цій конфігурації з DNS-серверів під керуванням Windows Server 2003, записи ресурсів може стати застарілою. Наприклад, розглянемо таку ситуацію:
  1. Windows Server 2003 DHCP-сервера (DHCP1) виконує безпечне Динамічне оновлення від імені одного з клієнтів для певного домену DNS-ім'я.
  2. Оскільки сервер DHCP успішно створив ім'я, він стає власником імені.
  3. Після того, як DHCP-сервер стає власником імені клієнта, лише DHCP-сервер може оновлювати ім'я.
За певних обставин цей сценарій може спричинити проблеми. Наприклад, якщо DHCP1 не вдається, і другий резервної копії DHCP-сервера, що надходить через Інтернет, резервний сервер не може оновити ім'я клієнта, оскільки сервер не є власником імені. В іншому прикладі припустимо, що DHCP-сервер виконує динамічні оновлення для застарілих клієнтів. Якщо оновити ці клієнти до Windows Server 2003, Windows 2000 або Windows XP, оновлений клієнт не може взяти на себе відповідальність або оновити записи DNS. Щоб вирішити цю проблему, надається вбудована Група безпеки, що називається DnsUpdateProxy. Якщо всі DHCP-сервери додаються до групи DnsUpdateProxy, записи одного сервера можна оновити іншим сервером, якщо не вдається виконати перший сервер. Крім того, всі об'єкти, створені членами групи DnsUpdateProxy не забезпечених. Таким чином, перший користувач, який не входить до групи DnsUpdateProxy і змінює набір записів, пов'язаних із DNS-ім'я стає його власником. Після оновлення застарілих клієнтів, вони можуть брати на себе право власності на свої записи імен на DNS-сервері. Якщо кожен DHCP-сервер, який реєструє записи ресурсів для застарілих клієнтів, входить до групи DnsUpdateProxy, усунути багато проблем. повернутися до вершини

Додавання учасників до групи DnsUpdateProxy

Використання Active Directory – користувачі й комп'ютери оснащення настроїти DnsUpdateProxy групи безпеки. Зверніть увагу Якщо використовується кілька DHCP-серверів відмовостійкості та безпечні динамічні оновлення, додайте кожного сервера до DnsUpdateProxy глобальної безпеки групи. повернутися до вершини

Міркувань безпеки під час використання групи DnsUpdateProxy

DNS-імен доменів, зареєстрованих DHCP-сервера не є безпечними, якщо DHCP-сервер є членом групи DnsUpdateProxy. Запис ресурсу хосту (A) для самого сервера DHCP є прикладом такого запису. Крім того, об'єкти, створені членами групи DnsUpdateProxy не є безпечними. Таким чином, не можна використовувати цю групу ефективно в Active Directory-інтегрована зона, яка дає змогу лише безпечні динамічні оновлення, якщо не вжити додаткових заходів, щоб увімкнути записи, створені членами групи, щоб забезпечити. Для захисту від небезпечних записів або для того, щоб дозволити членам групи DnsUpdateProxy реєструвати записи в зонах, які дають змогу лише забезпечити динамічні оновлення, виконайте такі дії:
  1. Створіть спеціальний обліковий запис користувача.
  2. Настроювання DHCP-серверів для виконання динамічних оновлень DNS із обліковими даними облікового запису користувача. (Ці облікові дані – це ім'я користувача, пароль і домен.)
Облікові дані одного спеціального облікового запису користувача можна використовувати кілька DHCP-серверів. Виділений обліковий запис користувача – це обліковий запис, єдиною метою якого є постачання DHCP-серверів з обліковими даними для реєстрації динамічних оновлень DNS. Припустімо, що ви створили спеціальний обліковий запис користувача та настроєно DHCP-сервери з обліковими даними облікового запису. Кожен DHCP-сервер буде поставляти ці облікові дані під час реєструє імена від імені DHCP-клієнти, які використовують динамічні оновлення DNS. Виділений обліковий запис користувача має бути створено в лісі, де розміщено основний DNS-сервер зони для оновлення. Виділений обліковий запис користувача також можна розташовано в іншому лісі. Проте лісу, що обліковий запис, що знаходиться у повинні мати лісу довіри, створені з лісу, який містить основний DNS-сервер для зони, щоб оновити. Коли службу DHCP-сервера інстальовано на контролері домену, можна настроїти DHCP-сервер за допомогою облікових даних виділеного облікового запису користувача, щоб запобігти успадковуючи сервер і, можливо, зловживати, живлення контролера домену. Після інсталяції служби DHCP-сервера на контролері домену, він успадковує дозволи безпеки контролера домену. Служба також має право оновлювати або видаляти будь-який DNS-запис, зареєстрований у захищеній Active Directory-інтегрована зона. (Це стосується записів, які були надійно зареєстровані на комп'ютерах під керуванням Windows 2000 або Windows Server 2003, а також контролерів домену.) повернутися до вершини

Настроювання динамічних оновлень DNS

Функції динамічного оновлення, який входить до складу Windows Server 2003, слід RFC 2136. Динамічне оновлення дає змогу клієнтам і серверам реєструвати імена DNS-доменів (записи ресурсів PTR) і зіставлення IP-адрес (записів ресурсів) до DNS-сервера, сумісного з RFC 2136. повернутися до вершини

Настроювання DNS динамічні оновлення для DHCP-клієнти

За промовчанням під керуванням Windows Server 2003, під керуванням Windows 2000 і Windows XP DHCP-клієнти налаштовані на запит, що клієнт зареєструвати запис ресурсу і що сервер зареєструвати запис ресурсу PTR. За промовчанням ім'я, яке використовується в реєстрації DNS, є об'єднання імені комп'ютера та основного DNS-суфікс. Щоб змінити це ім'я за промовчанням, відкрийте властивості протоколу TCP/IP мережного підключення. Щоб змінити значення за промовчанням динамічного оновлення клієнта динамічного оновлення, виконайте такі дії:
  1. На панелі керуваннядвічі клацніть пунктМережні підключення.
  2. Клацніть правою кнопкою миші підключення, яке потрібно настроїти, і виберіть пункт Властивості.
  3. Виберіть протокол Інтернету (TCP/IP), натисніть кнопкуВластивості, а потім натисніть кнопкуДодатково.
  4. Натисніть DNS. За промовчаннямзареєструвати адресу цього підключення в DNS вибрано тавикористовувати DNS-суфікс підключення до реєстрації DNS не вибрано. Ця конфігурація за промовчанням викликає клієнта запит, що клієнт зареєструвати запис ресурсу і сервер зареєструвати записи ресурсів PTR.
  5. Установіть прапорець використовувати DNS-суфікс підключення під час реєстрації в DNS . Клієнт буде просити, щоб сервер оновлення PTR запис за допомогою FQDN. Якщо DHCP-сервер настроєно для реєстрації записів DNS відповідно до запиту клієнта, клієнт реєструє такі записи:
    • Записи PTR.
    • Запис, який використовує ім'я, яке є об'єднання ім'я комп'ютера та основний DNS-суфікс.
    • Запис, який використовує ім'я, яке є об'єднання ім'я комп'ютера та DNS-суфікс підключення.
  6. Щоб настроїти клієнта, щоб не запитів на реєстрацію DNS, зніміть прапорець зареєструвати адресу цього підключення, у службі DNS .
повернутися до вершини

Настроювання DNS динамічні оновлення на клієнтських комп'ютерах з кількома реплікацію

Якщо клієнт динамічного оновлення, є multihomed, він реєструє всі IP-адреси з DNS за промовчанням. (Клієнт мультіреплікацію, якщо він має більше одного адаптера та пов'язані IP-адреси.) Якщо ви не хочете, щоб клієнт зареєструвати всі свої IP-адреси, можна настроїти його не зареєструвати один або кілька IP-адрес у властивостях мережного підключення. Щоб заборонити комп'ютеру зареєструвати всі IP-адреси, виконайте такі дії:
  1. На панелі керуваннядвічі клацніть пунктМережні підключення.
  2. Клацніть правою кнопкою миші підключення, яке потрібно настроїти, і виберіть пункт Властивості.
  3. Виберіть протокол Інтернету (TCP/IP), натисніть кнопкуВластивості, а потім натисніть кнопкуДодатково.
  4. Натисніть DNS.
  5. Клацніть, щоб зняти прапорець зареєструвати адресу цього підключення, у службі DNS .
Ви також можете налаштувати комп'ютер зареєструвати своє доменне ім'я в DNS. Наприклад, якщо у вас є клієнт, підключений до двох різних мереж, ви можете налаштувати клієнта, щоб мати інше доменне ім'я в кожній мережі. повернутися до вершини

Настроювання динамічного оновлення DNS на сервері під керуванням Windows Server 2003, DHCP

Щоб настроїти DNS динамічні оновлення для сервера під керуванням Windows Server 2003, DHCP, виконайте такі дії:
  1. Натисніть кнопку Пуск, АдмініструваннятаклацнітьDHCP.
  2. Клацніть правою кнопкою миші відповідний DHCP-сервер або область, а потім виберіть пункт Властивості.
  3. Натисніть DNS.
  4. Установіть прапорець Увімкнути динамічні оновлення DNS відповідно до параметрів нижче , щоб увімкнути ДИНАМІЧНЕ оновлення DNS для клієнтів, які підтримують Динамічне оновлення. Зверніть увагу За промовчанням цей прапорець установлено.
  5. Щоб увімкнути динамічні оновлення DNS для DHCP-клієнти, які не підтримують його, клацніть, щоб вибрати динамічно ОНОВЛЮВАТИ DNS A та PTR записи для DHCP-клієнти, які не запит на оновлення (наприклад, клієнти під керуванням Windows NT 4,0) прапорець.
  6. Клацніть OK.
повернутися до вершини

Увімкнути динамічні оновлення DNS на DNS-сервер

На сервері під керуванням Windows Server 2003, DHCP можна динамічно оновлювати записи DNS для клієнтів, які попередньо Windows Server 2003, які не можуть зробити це для себе. Щоб увімкнути DHCP-сервер для динамічного оновлення записів DNS своїх клієнтів, виконайте такі дії:
  1. У консолі керування DHCP виберіть область або DHCP-сервер, для якого потрібно ввімкнути оновлення DNS.
  2. У меню дія виберіть пунктВластивості, а потім пункт DNS.
  3. Установіть прапорець Увімкнути динамічні оновлення DNS відповідно до параметрів, які знаходяться нижче.
  4. Щоб оновити записи DNS клієнта, залежно від типу запиту DHCP, який клієнт робить, клацніть, щоб вибратидинамічно ОНОВЛЮВАТИ DNS a та PTR записів, лише якщо запит DHCP-клієнти. (Це оновлення буде відбуватися тільки тоді, коли клієнт робить запит.)
  5. Щоб завжди оновлювати вперед і назад записи підстановки клієнта, клацніть, щоб вибрати завжди динамічно ОНОВЛЮВАТИ DNS і PTR записи.
  6. Клацніть, щоб вибрати скасувати A та PTR записи під час оренди видаляються прапорець, щоб DHCP-сервер, видалити запис для клієнта, коли його DHCP-здавати в оренду і не оновлюється.
повернутися до вершини

Вимкнення динамічних оновлень DNS

Важливе значення Цей розділ, метод або завдання містять кроки, які повідомляють, як змінити реєстр. Однак, серйозні проблеми можуть виникнути, якщо змінити реєстр неправильно. Таким чином, переконайтеся, що ви виконайте наведені нижче дії ретельно. Для додаткового захисту, резервну копію реєстру, перш ніж вносити зміни. Після цього можна відновити реєстр, якщо виникне проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру клацніть номер статті в базі знань Microsoft Knowledge Base:
322756 Створення резервної копії та відновлення реєстру у Windows
За промовчанням динамічні оновлення настроєно на клієнтів під керуванням Windows Server 2003. Щоб вимкнути динамічні оновлення для всіх мережних інтерфейсів, виконайте такі дії:
  1. Натисніть кнопку Пуск, натиснітьзапустити, введітьRegeditі натисніть кнопку OK.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. У меню Правка виберіть командустворити, а потім — значення DWORD.
  4. Введіть інвалідність, а потім натисніть клавішу ENTER два рази.
  5. У діалоговому вікні редагування значення DWORDвведіть1 у полі значення та натисніть кнопкуOK.
  6. Закрийте редактор реєстру.
Щоб вимкнути динамічні оновлення для певного інтерфейсу, виконайте такі дії:
  1. Натисніть кнопку Пуск, натиснітьзапустити, введітьRegeditі натисніть кнопку OK.
  2. Знайдіть і клацніть такий підрозділ реєстру:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
    Приміткаінтерфейс — це ідентифікатор пристрою мережного адаптера для інтерфейсу, який потрібно вимкнути Динамічне оновлення.
  3. У меню Правка виберіть командустворити, а потім — значення DWORD.
  4. Введіть інвалідність, а потім натисніть клавішу ENTER два рази.
  5. У діалоговому вікні редагування значення DWORDвведіть1 у полі значення та натисніть кнопкуOK.
  6. Закрийте редактор реєстру.
повернутися до вершини