Freigeben über

Integrieren von Windows DNS in einen vorhandenen DNS-Namespace

In diesem Artikel wird beschrieben, wie Windows DNS in eine Organisation integriert wird, die bereits einen DNS-Namespace implementiert hat, in dem der DNS-Server, der für die Zone mit dem Namen der Active Directory-Domäne autoritativ ist, RFC 2136 (dynamische Updates) nicht unterstützt.

Ursprüngliche KB-Nummer: 255913

Übersicht

Ein Feature von Windows Domain Name System (DNS) ist die Unterstützung für dynamische Hostupdates (dokumentiert in RFC 2136). Um dieses Feature nutzen zu können, kann Windows DNS in Umgebungen bereitgestellt werden, die keine anderen DNS-Server haben, sowie in Umgebungen, die bereits nicht dynamische DNS-Server implementiert haben (z. B. BIND 4.9.7 und früher usw.). Wenn Sie Windows DNS in einer Umgebung bereitstellen, die bereits BIND-Server implementiert hat, haben Sie mehrere Integrationsoptionen:

  • Migrieren Sie Zonen von nicht dynamischen autoritativen DNS-Servern zu Servern, auf denen Windows DNS ausgeführt wird.
  • Delegieren untergeordneter DNS-Domänen unter einer übergeordneten DNS-Domäne. Delegieren Sie die Unterdomäne für Active Directory-Domänennamen, die nicht denselben Namen wie der Stamm einer Zone haben, an Windows DNS. Wenn beispielsweise der Name der Active Directory-Domäne und dev.reskit.com die Zone mit diesem Namen lautet, delegieren dev.reskit.com Sie an einen Windows-basierten Server, auf dem DNS ausgeführt wirdreskit.com.
  • Delegieren Sie jede der Unterdomänen, die vom Domänencontroller (DC)-Locator-Einträge (SRV-Einträge) verwendet werden, an einen Windows-basierten Server. Diese Unterdomänen sind _msdcs.reskit.com, _sites.reskit.com, , _tcp.reskit.comund _udp.reskit.com. Diese Option würde verwendet, wenn Active Directory-Domänennamen (z reskit.com. B. ) mit dem Namen des Stamms einer Zone (z reskit.com. B. ) nicht direkt an einen Windows-basierten Server mit DNS delegiert werden können. Optional können Clients Mitglieder der Active Directory-Domäne sein, die aufgerufen reskit.comwird, aber in der DNS-Zone registriert werden, die aufgerufen wird dynamic.reskit.com.

Dieser Artikel dokumentiert die vierte oben aufgeführte Option, wie Windows DNS in eine Organisation integriert wird, die bereits einen DNS-Namespace implementiert hat, in dem der DNS-Server, der für die Zone mit dem Namen der Active Directory-Domäne autoritativ ist, RFC 2136 (dynamische Updates) nicht unterstützt. In diesem Artikel wird auch ein Szenario erläutert, in dem Domänenmitglieder ein primäres DNS-Suffix verwenden, das sich vom Namen der Active Directory-Domäne unterscheidet, um die dynamische Registrierung von DNS-Einträgen von Windows-basierten Computern zu ermöglichen, wenn der DNS-Server autoritativ für die Zone mit dem Namen der Active Directory-Domäne keine dynamischen DNS-Updates unterstützt.

Weitere Informationen

Um Windows DNS in einen vorhandenen Namespace zu integrieren, der auf nicht dynamischen DNS-Servern basiert, können Sie die Unterdomänen delegieren, die von den Locator-Einträgen (SRV-Einträgen) verwendet werden, damit dynamische Updates (gemäß RFC 2136) verwendet werden können. Führen Sie folgende Schritte aus:

  1. Delegieren Sie auf dem nicht dynamischen DNS-Server, der für die Zone mit dem Namen der Active Directory-Domäne autoritativ ist, die folgenden Zonen an einen Windows 2000-basierten Server mit DNS:

    _udp. DNSDomainName
    _tcp. DNSDomainName
    _Lagen. DNSDomainName
    _msdcs. DNSDomainName

    Wenn z. B. die Stammzone aufgerufen reskit.comwird, delegieren_udp.reskit.com, , _tcp.reskit.com, und _sites.reskit.com_msdcs.reskit.com an den Windows-basierten Server.

    Sie müssen auch zwei zusätzliche Unterdomänen delegieren:

    ForestDnsZones. ForestDNSName
    DomainDnsZones. DNSDomainName

  2. Erstellen Sie auf dem Windows-basierten Server die weiterleitungszonen, die in Schritt 1 delegiert wurden, und aktivieren Sie die Zonen für dynamische Updates.

    So erstellen Sie die neuen Zonen:

    1. Starten Sie den DNS-Manager auf dem Windows-Server.

    2. Erweitern Sie den entsprechenden DNS-Server innerhalb des DNS-Managers.

    3. Klicken Sie mit der rechten Maustaste auf den Ordner "Forward Lookup Zones", und klicken Sie dann auf "Neue Zone".

    4. Wenn der Assistent für neue Zonen gestartet wird, klicken Sie auf "Weiter", wählen Sie "Primäre Zone" aus, und aktivieren Sie möglicherweise das Kontrollkästchen "Zone in Active Directory speichern", und klicken Sie dann auf "Weiter".

    5. Wählen Sie für AD-integrierte Zonen aus, wo sich die Zonendaten befinden sollen, entweder an alle DNS-Server in der Domäne oder Gesamtstruktur oder an alle DCS in der Domäne (nur Option in Windows 2000).

    6. Geben Sie den Namen der Zone in das Namensfeld ein. Geben Sie z. B. "_msdcs.reskit.com" ein.

    7. Klicken Sie auf Weiter. Klicken Sie nach dem Überprüfen der Zusammenfassung des Assistenten auf "Fertig stellen".

    So aktivieren Sie die Zone, um dynamische Updates zu akzeptieren:

    1. Klicken Sie mit dem DNS-Manager auf dem Windows-Server, auf dem DNS ausgeführt wird, mit der rechten Maustaste auf die neue Zone, klicken Sie auf "Eigenschaften", und klicken Sie dann auf die Registerkarte "Allgemein".
    2. Klicken Sie im Feld "Dynamische Updates zulassen" auf "Nur sichere Updates" (empfohlen) oder "Ja". Die Option "Nur sichere Updates" ist nur verfügbar, nachdem der Server auf einen Domänencontroller heraufgestuft wurde. Wiederholen Sie diesen Vorgang, bis alle vier in Schritt 1 beschriebenen Zonen erstellt und dynamische Updates zugelassen wurden. Auf diese Weise können Domänencontroller-Locator-Einträge dynamisch registriert und in DNS deaktiviert werden.

  3. Darüber hinaus kann eine einzelne Zone oder mehrere Zonen erstellt und konfiguriert werden, damit Clients und Server sich dynamisch mit dem Windows-Server registrieren können. Beispielsweise könnte eine aufgerufene dynamic.reskit.com Zone verwendet werden, um alle Clients und Server in einem Netzwerk über dynamische Updates zu registrieren. So konfigurieren Sie eine solche Zone:

    1. Delegieren Sie auf dem nicht dynamischen DNS-Server, der für die übergeordnete Zone autoritativ ist (z reskit.com. B. ), eine neue Zone an den Windows-basierten Server mit DNS. Delegieren Sie z. B. die dynamic.reskit.com. zone to the Windows server.
    2. Erstellen Sie auf dem Windows-Server eine Forward-Lookupzone für die oben delegierte Zone (dynamic.reskit.com).
    3. Aktivieren Sie auf dem Windows-Server die Zone(n) für dynamische Updates.

  4. Wenn Windows-Domänencontroller gestartet werden, versucht der Netlogon-Dienst, mehrere SRV-Einträge in der autoritativen Zone zu registrieren. Da die Zonen, in denen die SRV-Einträge registriert werden sollen, an einen Windows-Server delegiert wurden, auf dem sie dynamisch aktualisiert werden können, werden diese Registrierungen erfolgreich ausgeführt. Darüber hinaus versucht ein DC, die A-Einträge zu registrieren, die in der Netlogon.dns-Datei in der Stammzone (z. B reskit.com. ) aufgeführt sind. Da sich die Stammzone in diesem Fall auf einem nicht dynamischen DNS-Server befindet, werden diese Updates nicht erfolgreich ausgeführt. Das folgende Ereignis wird im Systemprotokoll auf dem DC generiert:

    Ereignistyp: Warnung
    Ereignisquelle: NETLOGON
    Ereigniskategorie: Keine
    Ereignis-ID: 5773
    Datum: <DateTime>
    Uhrzeit: <DateTime>
    Benutzer: N/V
    Computer: DC
    Beschreibung:
    Der DNS-Server für diesen DC unterstützt kein dynamisches DNS. Fügen Sie die DNS-Einträge aus der Datei "%SystemRoot%\System32\Config\netlogon.dns" zum DNS-Server hinzu, auf den in dieser Datei verwiesen wird.

    So korrigieren Sie dieses Verhalten:

    1. Jeder Windows DC verfügt über eine Netlogon.dns-Datei im Ordner "%SystemRoot%\System32\Config". Diese Datei enthält eine Liste von DNS-Einträgen, die der DC beim Start des Netlogon-Diensts registrieren möchte. Es empfiehlt sich, eine Kopie dieser Datei zu erstellen, bevor Sie die folgenden Änderungen vornehmen, damit Sie über eine Liste der ursprünglichen Einträge verfügen, die der DC versucht, sich beim DNS-Server zu registrieren. Beachten Sie, dass jeder DC unterschiedliche Datensätze hat, da diese Datensätze für jeden Netzwerkadapter auf jedem DC spezifisch sind. Überprüfen Sie die Datei "Netlogon.dns", um alle A-Einträge in der Datei zu identifizieren. Sie können A-Datensätze anhand des Datensatztyps nach dem Klassendeskriptor "IN" identifizieren. Die folgenden beiden Einträge sind z. B. A-Einträge:

      reskit.com. 600 IN EINER 10.10.10.10
      gc._msdcs.reskit.com. 600 IN EINER 10.10.10.10

      Die Anzahl der A-Einträge in der Datei "Netlogon.dns" hängt von der Anzahl der Adapter ab, über die der DC verfügt, die Anzahl der IP-Adressen, mit denen jeder Adapter konfiguriert wurde, und der Rolle des DC. DCs registrieren:

      • Ein A-Eintrag pro jeder seiner IP-Adressen für den Namen der Domäne.
      • Wenn der DC auch ein globaler Katalogserver (GC) ist, wird gc._msdcs registriert. DnsForestName für jede seiner IP-Adressen.

    2. Da der nicht dynamische DNS-Server nicht die Versuche des Domänencontrollers akzeptiert, die A-Einträge dynamisch zu registrieren, müssen die A-Einträge auf dem autorisierenden DNS-Server manuell konfiguriert werden (im Beispiel in diesem Artikel der DNS-Server autoritativ für die Zone reskit.com). Das Hinzufügen des A-Eintrags, der dem Namen der Domäne entspricht (z reskit.com. B. ) ist für die Windows-Bereitstellung nicht erforderlich und kann nur erforderlich sein, wenn LDAP-Clients von Drittanbietern, die SRV-DNS-Einträge nicht unterstützen, nach den Windows-DCs suchen.

      Erstellen Sie auf dem Windows-Server die GC-serverspezifischen A-Einträge, die in Schritt A identifiziert wurden, in der entsprechenden Zone. Erstellen Sie beispielsweise einen A-Eintrag für den GC-Server in der Zone _msdcs.reskit.com.

      Erstellen Sie auf dem nicht dynamischen DNS-Server, der für den Stamm der Zone autoritativ ist, A-Einträge in der Stammzone (z reskit.com. B. ) für die nicht-GC-serverspezifischen A-Einträge, die in Schritt A identifiziert wurden. Erstellen Sie beispielsweise einen A-Eintrag für reskit.com die reskit.com Zone.

    3. Der folgende Registrierungsschlüssel sollte verwendet werden, um den DC-Schlüssel beim Versuch zu deaktivieren, die A-Einträge in der Datei Netlogon.dns zu registrieren. Legen Sie den Wert REG_DWORD RegisterDnsARecords auf 0 (Null) unter:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. Um dieses Verhalten zu beheben: Nachdem Sie eine Active Directory-Gesamtstruktur und Domäne eingerichtet haben, sollten Sie Active Directory in die DNS-Domänen integrieren, für die der Windows-Server mit DNS verantwortlich ist. Außerdem sollten Sie Zonen neu konfigurieren, die so konfiguriert wurden, dass dynamische Updates akzeptiert werden, um nur sichere dynamische Updates zu akzeptieren.