Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dynamischem Update können DNS-Clientcomputer ihre Ressourceneinträge bei jedem Auftreten von Änderungen mit einem DNS-Server registrieren und aktualisieren. Dieses Feature reduziert die manuelle Verwaltung von Zoneneinträgen, insbesondere für Clients, die häufig Speicherorte verschieben oder ändern und DHCP zum Abrufen einer IP-Adresse verwenden.
Die DNS-Client- und Serverdienste unterstützen das dynamische Update, wie in RFC 2136 beschrieben. Der DNS-Serverdienst kann dynamische Updates pro Zone aktivieren oder deaktivieren. Standardmäßig aktualisiert der DNS-Clientdienst von Windows Server dynamisch die Ressourceneinträge vom Typ Host (A) in DNS bei Konfiguration für TCP/IP. Der DNS-Serverdienst ist so konfiguriert, dass standardmäßig nur sichere dynamische Updates zulässig sind.
Protokollübersicht
RFC 2136 führt das UPDATE Nachrichtenformat ein, das das Hinzufügen und Löschen von Ressourceneinträgen in einer bestimmten Zone ermöglicht, während die Überprüfung auf Voraussetzungen erfolgt. Das Update ist atomar, d. h., alle Bedingungen müssen erfüllt sein, damit die Aktualisierung erfolgt.
Das Zonenupdate muss auf einem primären DNS-Server für diese Zone zugesichert werden. Der sekundäre DNS-Server leitet ein Update mithilfe der Replikationstopologie weiter, bis er den primären DNS-Server erreicht. Wenn Sie eine in Active Directory integrierte Zone verwenden, kann ein Update für einen Ressourceneintrag in einer Zone an jeden DNS-Server gesendet werden, der auf einem Active Directory-Domänencontroller ausgeführt wird, dessen Datenspeicher die Zone enthält.
Wenn ein Zonenübertragungsprozess gestartet wird, sperrt er die Zone. Diese Sperre stellt sicher, dass ein sekundärer DNS-Server eine konsistente Ansicht der Zone erhält, während die Daten übertragen werden. Während dieser Zeit kann die Zone keine dynamischen Updates akzeptieren. Wenn die Zone groß und häufig für Übertragungen gesperrt ist, kann sie dynamische Update-Clients blockieren und zu Systeminstabilität führen. Um dieses Problem zu vermeiden, werden Updateanforderungen von Windows Server-DNS Server-Diensten in die Warteschlange gestellt, die während der Zonenübertragung eingehen und nach Abschluss der Übertragung verarbeitet werden.
So aktualisieren Computer ihre DNS-Namen
Standardmäßig versuchen Computer, die statisch für TCP/IP konfiguriert sind, Hostressourceneinträge (A) und Zeigerressourceneinträge (PTR) dynamisch für IP-Adressen zu registrieren, die von ihren installierten Netzwerkverbindungen konfiguriert und verwendet werden. Alle Computer registrieren Datensätze basierend auf ihrem FQDN.
DNS-Clients versuchen nicht, die dynamische Aktualisierung der folgenden Elemente zu versuchen:
Über eine Remotezugriffs- oder VPN-Verbindung (Virtual Private Network). Um diese Konfiguration zu ändern, können Sie die erweiterten TCP/IP-Einstellungen der jeweiligen Netzwerkverbindung ändern oder die Registrierung ändern.
Domänenzonen der obersten Ebene (TLD). Jede Zone, die mit einem Einzel-Label-Namen benannt ist, wird als TLD-Zone betrachtet, zum Beispiel
com,edu,blank,my-company.
Standardmäßig entspricht der primäre DNS-Suffixteil des FQDN eines Computers dem Namen der Active Directory-Domäne, mit der der Computer verbunden ist. Um verschiedene primäre DNS-Suffixe zuzulassen, kann ein Domänenadministrator eine eingeschränkte Liste zulässiger Suffixe erstellen, indem das Attribut msDS-AllowedDNSuffixes im Domänenobjektcontainer geändert wird. Ein Domänenadministrator kann das Attribut mithilfe von Active Directory Service Interfaces (ADSI) oder dem Lightweight Directory Access Protocol (LDAP) verwalten. Dynamische Updates können aus folgenden Gründen oder Ereignissen gesendet werden:
- Eine IP-Adresse wird in der Konfiguration der TCP/IP-Eigenschaften für eine der installierten Netzwerkverbindungen hinzugefügt, entfernt oder geändert.
- Zum Startzeitpunkt, wenn der Computer aktiviert ist.
- Ein Mitgliedsserver wird zu einem Domänencontroller heraufgestuft.
- Eine IP-Adresslease ändert oder erneuert alle installierten Netzwerkverbindungen mit dem DHCP-Server, z. B. beim Starten des Computers oder bei Verwendung des Befehls
ipconfig /renew. - Der
ipconfig /registerdnsBefehl wird verwendet, um eine Aktualisierung der Clientnamenregistrierung in DNS manuell zu erzwingen.
Important
Bei Verwendung ipconfig /registerdnsversucht der DNS-Clientdienst, seinen DNS-Eintrag direkt zu registrieren und den DHCP-Server zu umgehen. Diese Registrierung tritt auch dann auf, wenn der DHCP-Server so konfiguriert ist, dass DNS A- und PTR-Einträge immer dynamisch aktualisiert werden. Wenn der Client nicht über die Berechtigung zum Aktualisieren des Ressourcendatensatzes verfügt, schlägt die Registrierung im Hintergrund fehl. Wenn der DNS-Client über diese Berechtigung verfügt, wird der Ressourceneintrag aktualisiert. Berechtigungen können so zurückgesetzt werden, dass der DHCP-Server keine zukünftigen Aktualisierungen des Ressourcendatensatzes mehr ausführen kann.
Die empfohlene Methode zum Aktualisieren der DNS-Registrierung für DHCP-Clients unter Windows ist die Verwendung ipconfig /renew. Verwenden Sie ipconfig /registerdns nicht.
Wenn eines der vorherigen Ereignisse ein dynamisches Update auslöst, sendet der DNS-Clientdienst Updates. Dieser Trigger ist so konzipiert, dass bei einer Änderung der IP-Adressinformationen entsprechende Aktualisierungen im DNS ausgeführt werden, um Namens-zu-Adresszuordnungen für den Computer zu synchronisieren. Der DNS-Clientdienst führt diese Funktion für alle Netzwerkverbindungen aus, die auf dem System verwendet werden, einschließlich Verbindungen, die nicht für die Verwendung von DHCP konfiguriert sind.
Bei diesem Updatevorgang wird davon ausgegangen, dass die Installationsstandardwerte für Server mit Windows Server wirksam sind. Bestimmte Namen und Aktualisierungsverhalten können angepasst werden, wenn erweiterte TCP/IP-Eigenschaften so konfiguriert sind, dass nicht standardmäßige DNS-Einstellungen verwendet werden.
Neben dem vollständigen Computernamen (oder primären Namen) des Computers können verbindungsspezifische DNS-Namen konfiguriert und optional in DNS registriert oder aktualisiert werden.
Funktionsweise dynamischer Updates
Dynamische Updates werden in der Regel angefordert, wenn sich entweder ein DNS-Name oder eine IP-Adresse auf dem Computer ändert. Angenommen, ein Client mit dem Namen oldhost ist zuerst mit den folgenden Namen konfiguriert:
-
Computername:
oldhost -
DNS-Domänenname:
example.contoso.com -
Vollständiger Computername:
oldhost.example.contoso.com
In diesem Beispiel sind keine verbindungsspezifischen DNS-Domänennamen für den Computer konfiguriert. Später wird der Computer von oldhost zu newhost umbenannt, was zu den folgenden Namensänderungen im System führt:
-
Computername:
newhost -
DNS-Domänenname:
example.contoso.com -
Vollständiger Computername:
newhost.example.contoso.com
Nachdem die Namensänderung in den Systemeigenschaften angewendet wurde, werden Sie aufgefordert, den Computer neu zu starten. Wenn der Computer Windows neu startet, führt der DNS-Clientdienst die folgende Sequenz aus, um DNS zu aktualisieren:
Der DNS-Clientdienst sendet eine SOA-Typabfrage mithilfe des DNS-Domänennamens des Computers.
Der Clientcomputer verwendet den aktuell konfigurierten FQDN des Computers (z. B.
newhost.example.contoso.com) als den in dieser Abfrage angegebenen Namen.Der autoritative DNS-Server für die Zone, die den Client-FQDN enthält, antwortet auf die SOA-Typabfrage.
Bei standard primären Zonen ist der primäre Server (Besitzer), der in der SOA-Abfrageantwort zurückgegeben wird, fest und statisch. Er entspricht immer dem genauen DNS-Namen, wie er im MIT der Zone gespeicherten SOA-Ressourceneintrag angezeigt wird. Wenn die zone, die aktualisiert wird, verzeichnisintegriert ist, kann jeder DNS-Server, der auf einem Domänencontroller für die Active Directory-Domäne im FQDN ausgeführt wird, antworten. Er kann dynamisch seinen eigenen Namen als primärer Server (Besitzer) der Zone in der SOA-Abfrageantwort einfügen.
Der DNS-Clientdienst versucht dann, den primären DNS-Server zu kontaktieren.
Der Client verarbeitet die SOA-Abfrageantwort für seinen Namen, um die IP-Adresse des DNS-Servers zu ermitteln, der als primärer Server für die Annahme seines Namens autorisiert wurde. Anschließend wird die folgende Abfolge der Schritte ausgeführt, die erforderlich sind, um den primären Server zu kontaktieren und dynamisch zu aktualisieren:
- Es sendet eine dynamische Aktualisierungsanforderung an den primären Server, der in der SOA-Abfrageantwort ermittelt wird.
- Wenn das Update erfolgreich ist, wird keine weitere Aktion ausgeführt.
- Wenn dieses Update fehlschlägt, sendet der Client als Nächstes eine NS-Typ-Abfrage für den im SOA-Eintrag angegebenen Zonennamen.
- Wenn sie eine Antwort auf diese Abfrage empfängt, sendet sie eine SOA-Abfrage an den ersten DNS-Server, der in der Antwort aufgeführt ist.
Nachdem die SOA-Abfrage aufgelöst wurde, sendet der Client eine dynamische Aktualisierung an den im zurückgegebenen SOA-Eintrag angegebenen Server.
- Wenn das Update erfolgreich ist, wird keine weitere Aktion ausgeführt.
- Wenn dieses Update fehlschlägt, wiederholt der Client den SOA-Abfragevorgang, indem eine Anforderung an den nächsten DNS-Server gesendet wird, der in der Antwort aufgeführt ist.
Nachdem der primäre DNS-Server, der das Update ausführen kann, kontaktiert wurde, sendet der Client die Updateanforderung und den DNS-Server verarbeitet es.
Der Inhalt der Aktualisierungsanforderung enthält Anweisungen, A-Ressourceneinträge (und möglicherweise PTR-Ressourceneinträge) für
newhost.example.contoso.comhinzuzufügen und dieselben Datensatztypen füroldhost.example.contoso.com, den zuvor registrierten Namen, zu entfernen.Der DNS-Server überprüft außerdem, ob Updates für die Clientanforderung zulässig sind. Für primäre Standardzonen werden dynamische Updates nicht gesichert, sodass ein Clientupdateversuch erfolgreich ist. Für active Directory-integrierte Zonen werden Updates mithilfe von verzeichnisbasierten Sicherheitseinstellungen gesichert und ausgeführt. Weitere Informationen finden Sie im Abschnitt " Sichere dynamische Aktualisierung " weiter unten in diesem Artikel.
Dynamische Updates werden regelmäßig gesendet oder aktualisiert. Standardmäßig senden Computer eine Aktualisierung einmal alle sieben Tage. Wenn das Update keine Änderungen an Zonendaten ergibt, verbleibt die Zone in der aktuellen Version, und es werden keine Änderungen geschrieben. Aktualisierungen führen nur dann zu Zonenänderungen oder erhöhten Zonenübertragungen, wenn Sich Namen oder Adressen ändern.
Namen werden nicht aus DNS-Zonen entfernt, wenn sie inaktiv werden oder nicht innerhalb des Aktualisierungsintervalls (sieben Tage) aktualisiert werden. DNS verfügt nicht über einen Mechanismus zum Freigeben oder Veröffentlichen von Grabsteinnamen. DNS-Clients versuchen jedoch, alte Nameneinträge zu löschen, wenn ein neuer Name angewendet wird. DNS-Clients versuchen auch, Nameneinträge zu aktualisieren, wenn eine Adressänderung auftritt.
Wenn der DNS-Clientdienst A- und PTR-Ressourceneinträge für einen Computer registriert, verwendet er einen Standardwert für die Cachingdauer (Time To Live, TTL) von 15 Minuten für Hosteinträge. Diese TTL bestimmt, wie lange andere DNS-Server und Clients die Datensätze eines Computers zwischenspeichern, wenn sie in eine Abfrageantwort einbezogen werden.
Gültigkeitsdauer
Wenn ein dynamischer Updateclient im DNS registriert wird, enthalten die zugeordneten A- und PTR-Ressourceneinträge die Time to Live (TTL). Standardmäßig ist die TTL für datensätze, die vom Netlogon-Dienst registriert wurden, auf 10 Minuten festgelegt. Für Datensätze, die vom DHCP-Clientdienst registriert wurden, wird die TTL auf 15 Minuten festgelegt. Wenn der DNS-Serverdienst Einträge für seine eigenen Zonen dynamisch registriert, beträgt die Standard-TTL 20 Minuten. Sie können die Standardeinstellung in der Registrierung ändern. Ein kleiner Wert führt dazu, dass zwischengespeicherte Einträge früher ablaufen, was den DNS-Datenverkehr erhöht, aber das Risiko verringert, dass zwischengespeicherte Datensätze veraltet werden. Ein schneller Ablauf von Einträgen ist bei Computern hilfreich, die ihre DHCP-Leases häufig erneuern. Lange Aufbewahrungszeiten sind nützlich für Computer, die ihre DHCP-Leases selten verlängern.
Auflösen von Namenskonflikten
Wenn der DNS-Clientdienst versucht, einen A-Eintrag zu registrieren, überprüft er, ob die autorisierende DNS-Zone bereits einen A-Eintrag für denselben Namen, aber mit einer anderen IP-Adresse enthält. Standardmäßig versucht der DNS-Clientdienst, den vorhandenen A-Eintrag (oder die vorhandenen Einträge) durch den neuen A-Eintrag zu ersetzen, der die IP-Adresse des DNS-Clients enthält. Daher kann jeder Computer im Netzwerk den vorhandenen A-Eintrag ändern, es sei denn, es wird ein sicheres dynamisches Update verwendet. Zonen, die für sichere dynamische Updates konfiguriert sind, ermöglichen nur autorisierten Benutzern das Ändern des Ressourcendatensatzes.
Sie können die Standardeinstellung so ändern, dass der DNS-Clientdienst den Registrierungsprozess beendet und den Fehler in der Ereignisanzeige protokolliert, anstatt den vorhandenen A-Eintrag zu ersetzen. Weitere Informationen finden Sie im Abschnitt " Sichere dynamische Aktualisierung " weiter unten in diesem Artikel.
DNS und DHCP
Windows-DNS-Clients sind dynamisch updatefähig und können den dynamischen Updateprozess initiieren. Ein DNS-Client verhandelt den Prozess der dynamischen Aktualisierung mit dem DHCP-Server, wenn der Client eine IP-Adresse leaset oder die Lease erneuert. Diese Aushandlung bestimmt, welcher Computer die A- und PTR-Ressourcendatensätze des Clients aktualisiert. Der DNS-Client und der DHCP-Server verhandeln, wer die Einträge aktualisiert. Der Client und der Server senden dynamische Updateanforderungen an die primären DNS-Server, die autoritativ sind, damit die Namen aktualisiert werden.
Der Windows Server DHCP Server-Dienst kann DNS-Einträge für Clients aktualisieren, die die FQDN-Option des DHCP-Clientdiensts nicht unterstützen. Diese Funktionalität kann auf der DNS-Registerkarte der Servereigenschaften für die DHCP-Konsole aktiviert werden. Der DHCP-Server ruft zuerst den Namen von Legacy-Clients aus dem DHCP REQUEST-Paket ab. Anschließend wird der für diesen Bereich angegebene Domänenname angefügt und die A- und PTR-Ressourceneinträge registriert.
In einigen Fällen können veraltete PTR- oder A-Ressourceneinträge auf DNS-Servern angezeigt werden, wenn die Lease eines DHCP-Clients abläuft. Wenn beispielsweise ein DNS-Client versucht, eine dynamische Aktualisierungsprozedur mit einem DHCP-Server auszuhandeln, muss der DNS-Client sowohl A- als auch PTR-Ressourceneinträge selbst registrieren. Wenn der Client später nicht ordnungsgemäß aus dem Netzwerk entfernt wird, kann der Client seine A- und PTR-Ressourceneinträge nicht deregistern und sie werden veraltet.
Wenn ein veralteter A-Ressourcendatensatz in einer Zone angezeigt wird, die nur sichere dynamische Updates zulässt, kann kein Computer einen anderen Ressourcendatensatz für den Namen in diesem A-Ressourcendatensatz registrieren. Um Probleme mit veralteten PTR- und A-Ressourceneinträgen zu vermeiden, können Sie die Funktion für Alterung und Bereinigung aktivieren. Weitere Informationen zur Alterungs- und Aufräumfunktion finden Sie unter DNS-Alterung und -Aufräumen.
Um Fehlertoleranz für dynamische Updates bereitzustellen, sollten Sie die Active Directory-Integration für diese Zonen in Betracht ziehen, die dynamische Updates von Windows-Clients akzeptieren. Um die Ermittlung autoritativer DNS-Server zu beschleunigen, können Sie jeden Client mit einer Liste der bevorzugten und alternativen DNS-Server konfigurieren, die primär für diese verzeichnisintegrierte Zone sind. Wenn ein Client die Zone nicht mit seinem bevorzugten DNS-Server aktualisiert, da der DNS-Server nicht verfügbar ist, kann der Client einen alternativen Server ausprobieren. Wenn der bevorzugte DNS-Server verfügbar wird, lädt er die aktualisierte, verzeichnisintegrierte Zone, die das Update vom Client enthält.
Dynamischer Updateprozess
In diesem Abschnitt beschreiben wir den dynamischen Updateprozess für DHCP-Clients, statisch konfigurierte Clients, Remotezugriffsclients und mehrhomed-Clients.
DHCP-Clientprozess
Um den dynamischen Aktualisierungsprozess zu initiieren, sendet der DHCP-Client seinen FQDN mithilfe der FQDN-Option des DHCP-Clientdiensts an den DHCP-Server im DHCPREQUEST Paket. Der DHCP-Server antwortet dann auf den DHCP-Client, indem eine DHCP-Bestätigungsnachricht (DHCPACK) gesendet wird, die die FQDN-Option (Optionscode 81) enthält.
In der folgenden Tabelle sind die Felder der FQDN-Option des DHCPREQUEST Pakets aufgeführt.
| Field | Explanation |
|---|---|
| Code | Gibt den Code für diese Option an (81). |
| Len | Gibt die Länge dieser Option (mindestens 4) in Oktetten an. |
| Flags | Folgende Werte sind möglich: 0. Der Client möchte den A-Ressourcendatensatz registrieren und fordert an, dass der Server den PTR-Ressourcendatensatz aktualisiert. 1. Der Client möchte, dass der Server die A- und PTR-Ressourceneinträge registriert. 3. DHCP-Server registriert die A- und PTR-Ressourceneinträge unabhängig von der Anforderung des Clients. |
RCODE1 und RCODE2 |
Der DHCP-Server verwendet diese Felder, um den Antwortcode aus der A- und PTR-Ressource anzugeben, zeichnet Registrierungen auf, die im Auftrag des Clients ausgeführt wurden, und um anzugeben, ob es vor dem Senden DHCPACKversucht hat, die Aktualisierung auszuführen. |
| Domänenname | Gibt den FQDN des Clients an. |
Die Bedingungen, unter denen DHCP-Clients die FQDN-Option senden, hängen vom Betriebssystem ab, das der Client ausführt und wie der Client konfiguriert ist. Die von DHCP-Servern ausgeführten Aktionen hängen auch vom Betriebssystem ab, auf dem der Server ausgeführt wird und wie der Server konfiguriert ist.
Standardmäßig verwendet der Windows DHCP-Clientdienst den folgenden Prozess.
Der Windows DHCP-Clientdienst sendet die FQDN-Option, wobei das Feld "Flags" auf 0 festgelegt ist. Dieses Flag fordert an, dass der Client den A-Ressourcendatensatz aktualisiert, und der DHCP-Serverdienst aktualisiert den PTR-Ressourcendatensatz.
Der Client wartet auf eine Antwort vom DHCP-Server. Sofern der DHCP-Server das Feld "Flags" nicht auf 3 festlegt, initiiert der DNS-Client dann eine Aktualisierung für den A-Ressourceneintrag.
Wenn der DHCP-Server die Registrierung des DNS-Eintrags nicht unterstützt oder nicht konfiguriert ist, ist ein FQDN nicht in der Antwort enthalten. In diesem Fall versucht der DNS-Client, die A- und PTR-Ressourceneinträge zu registrieren.
Je nachdem, welche Anforderungen der DHCP-Client stellt, kann der DHCP-Server unterschiedliche Aktionen ausführen.
Wenn der DHCP-Client eine DHCPREQUEST Nachricht ohne die FQDN-Option sendet, hängt das Verhalten vom Typ des DHCP-Servers und seiner Konfiguration ab. Der DHCP-Server aktualisiert beide Datensätze, wenn Sie sie so konfigurieren, dass Datensätze im Auftrag von DHCP-Clients aktualisiert werden, die die FQDN-Option nicht unterstützen.
In den folgenden Fällen führt der DHCP-Server keine Aktion aus:
Der DHCP-Server unterstützt keine dynamische Aktualisierung.
Der DHCP-Server ist so konfiguriert, dass keine dynamischen Updates für Clients ausgeführt werden, die die FQDN-Option nicht unterstützen.
Der DHCP-Server ist nicht für die Registrierung von DNS-Ressourceneinträgen konfiguriert.
Wenn der Windows DHCP-Client anfordert, dass der Server den PTR-Ressourcendatensatz, aber nicht den A-Ressourcendatensatz aktualisiert, hängt das Verhalten vom Typ des DHCP-Servers und seiner Konfiguration ab.
Der Server kann eine der folgenden Aktionen ausführen:
Wenn der Windows DHCP-Server nicht für dynamische Updates konfiguriert ist, enthält er nicht die FQDN-Option in der Antwort. Außerdem werden keine Ressourceneinträge aktualisiert. In diesem Fall versucht der DNS-Client, die A- und PTR-Ressourceneinträge zu aktualisieren, wenn dies möglich ist.
Wenn der Windows DHCP-Server gemäß der Anforderung des DHCP-Clients so konfiguriert ist, dass er aktualisiert wird, versucht der Server, den PTR-Ressourceneintrag zu aktualisieren. Der DHCP-Server sendet eine
DHCPACKNachricht an den DHCP-Client. Diese Nachricht enthält die FQDN-Option, wobei das Feld "Flags" auf "0" gesetzt ist. DieDHCPACKMeldung bestätigt, dass der DHCP-Server den PTR-Eintrag aktualisiert. Der DNS-Client versucht dann, den A-Ressourceneintrag zu aktualisieren, falls er in der Lage ist.Wenn der DHCP-Server so konfiguriert ist, dass er sowohl A- als auch PTR-Ressourceneinträge immer aktualisiert, versucht der DHCP-Server, beide Ressourceneinträge zu aktualisieren. Die Nachricht vom DHCP-Server
DHCPACKan den DHCP-Client enthält die FQDN-Option, bei der das Flags-Feld auf3gesetzt ist. Dies teilt dem DHCP-Client mit, dass der DHCP-Server die A- und PTR-Einträge aktualisiert. In diesem Fall versucht der DNS-Client nicht, einen ressourceneintrag zu aktualisieren.
Prozess für statisch konfigurierte und Remotezugriffsclients
Statisch konfigurierte Clients und Remotezugriffsclients verlassen sich nicht auf den DHCP-Server für die DNS-Registrierung. Statisch konfigurierte Clients aktualisieren ihre A- und PTR-Ressourceneinträge bei jedem Start dynamisch. Clients aktualisieren außerdem alle 24 Stunden, um Einträge in der DNS-Datenbank zu aktualisieren.
Remotezugriffsclients können A- und PTR-Ressourceneinträge dynamisch aktualisieren, wenn eine DFÜ-Verbindung hergestellt wird. Sie können auch versuchen, die A- und PTR-Ressourceneinträge zurückzuziehen oder zu deregistern, wenn der Benutzer die Verbindung explizit schließt. Computer, auf denen Windows Server mit einer Remotezugriffsnetzwerkverbindung ausgeführt wird, versuchen, die A- und PTR-Einträge für die IP-Adresse dieser Verbindung dynamisch zu registrieren. Standardmäßig versucht der DNS-Clientdienst auf dem Windows-Client keine dynamische Aktualisierung über einen Remotezugriff oder eine VPN-Verbindung. Um diese Konfiguration zu ändern, können Sie die erweiterten TCP/IP-Einstellungen der jeweiligen Netzwerkverbindung ändern oder die Registrierung ändern.
Wenn ein Remotezugriffsclient in allen Betriebssystemen keine erfolgreiche Antwort vom Versuch erhält, einen DNS-Ressourceneintrag zu deregistern, oder schlägt aus irgendeinem anderen Grund fehl, einen Ressourceneintrag innerhalb von vier Sekunden zu deregistern, schließt der DNS-Client die Verbindung. In solchen Fällen kann die DNS-Datenbank einen veralteten Eintrag enthalten.
Wenn der Remotezugriffsclient die Registrierung eines DNS-Ressourceneintrags nicht aufheben kann, wird dem Ereignisprotokoll eine Meldung hinzugefügt, die Sie mithilfe der Ereignisanzeige anzeigen können. Der Remotezugriffsclient löscht niemals veraltete Datensätze, aber der Remotezugriffsserver versucht, den PTR-Ressourcendatensatz zu deregistern, wenn der Client getrennt wird.
Standardmäßig versucht der Windows-DNS-Clientdienst nicht, die A- und PTR-Einträge für DFÜ-Verbindungen automatisch zu aktualisieren.
Mehrfach vernetzter Clientprozess
Wenn ein dynamischer Updateclient multihomed ist, d. h., der Client verfügt über mehr als eine Netzwerkverbindung und zugehörige IP-Adresse, registriert er alle IP-Adressen für jede Netzwerkverbindung. Wenn Sie nicht möchten, dass diese IP-Adressen registriert werden, können Sie die Netzwerkverbindung so konfigurieren, dass keine IP-Adressen registriert werden.
Der dynamische Updateclient registriert nicht alle IP-Adressen bei den DNS-Servern in allen Namespaces, mit denen der Computer verbunden ist. Ein mehrfach vernetzter Computer (client1.example.contoso.com) ist beispielsweise sowohl mit dem Internet als auch mit dem Unternehmensintranet verbunden. Der Client ist über adapter A, einen DHCP-Adapter mit der IP-Adresse 172.16.8.7, mit dem Intranet verbunden. Der Client ist auch über Adapter B mit dem Internet verbunden, einem Remotezugriffsadapter mit der IP-Adresse 10.3.3.9. Der Client löst Intranetnamen mithilfe eines Namensservers im Intranet auf und löst Internetnamen mithilfe eines Namensservers im Internet auf.
Sicheres dynamisches Update
Die DNS-Updatesicherheit ist nur für Zonen verfügbar, die in Active Directory integriert sind. Wenn Sie eine Zone in Active Directory integrieren, stehen Zugriffssteuerungslisten (Access Control Lists, ACL) in der DNS-Konsole zur Verfügung, damit Sie Benutzer und Gruppen aus der ACL für eine angegebene Zone oder einen Ressourceneintrag hinzufügen oder entfernen können. ACLs gelten nur für die Zugriffssteuerung für die DNS-Verwaltung und beeinflussen die DNS-Abfrageauflösung nicht.
Standardmäßig werden die Sicherheit dynamischer Updates für DNS-Server und -Clients wie folgt behandelt:
DNS-Clients versuchen zuerst, unsichere dynamische Updates zu verwenden. Wenn ein ungeschütztes Update abgelehnt wird, versuchen die Clients, ein sicheres Update zu verwenden.
Mit der Standardaktualisierungsrichtlinie können Clients versuchen, einen zuvor registrierten Ressourcendatensatz zu überschreiben, es sei denn, er wurde blockiert.
Nachdem eine Zone in Active Directory integriert wurde, werden DNS-Server, auf denen Windows Server ausgeführt wird, standardmäßig nur sichere dynamische Updates zulassen.
Wenn Sie den dateibasierten Zonenspeicher verwenden, besteht die Standardeinstellung für den DNS-Serverdienst darin, dynamische Updates für seine Zonen nicht zuzulassen. Für Zonen, die entweder verzeichnisintegriert sind oder standardmäßigen dateibasierten Speicher verwenden, können Sie die Zone so ändern, dass alle dynamischen Updates zulässig sind. Mit dieser Einstellung können alle Updates akzeptiert werden.
Das dynamische Update ist eine Ergänzung zur DNS-Standardspezifikation, die in RFC 2136 definiert ist.
Die dynamische Registrierung von DNS-Ressourceneinträgen kann mit der Verwendung von Registrierungseinträgen eingeschränkt werden.
Funktionsweise des sicheren dynamischen Updates
Der prozess der sicheren dynamischen Aktualisierung wird wie folgt beschrieben:
Um ein sicheres dynamisches Update zu initiieren, initiiert der DNS-Client zunächst den Prozess der Sicherheitskontextverhandlung, während der die Token zwischen Client und Server mithilfe von TKEY-Ressourceneinträgen übergeben werden. Am Ende des Aushandlungsprozesses wird der Sicherheitskontext eingerichtet.
Der DNS-Client sendet die dynamische Updateanforderung an den DNS-Server. Diese Anforderung enthält Ressourceneinträge zum Hinzufügen, Löschen oder Ändern von Daten.
Die Anforderung wird mit dem zuvor eingerichteten Sicherheitskontext signiert.
Die Signatur wird im TSIG-Ressourcendatensatz übergeben, der im Paket für dynamische Updates enthalten ist.
Der Server versucht, Active Directory mithilfe der Anmeldeinformationen des Clients zu aktualisieren und sendet das Ergebnis der Aktualisierung an den Client. Diese Ergebnisse werden ebenfalls mithilfe des Sicherheitskontexts und der Signatur signiert, die im TSIG-Ressourceneintrag der Antwort enthalten sind.
Sicherer dynamischer Updateprozess
Der prozess der sicheren dynamischen Aktualisierung wird wie folgt beschrieben:
Der DNS-Client fragt den bevorzugten DNS-Server ab, um zu ermitteln, welcher DNS-Server autoritativ für den Domänennamen ist, der aktualisiert werden soll. Der bevorzugte DNS-Server antwortet mit dem Namen der Zone und dem primären DNS-Server, der autoritativ für die Zone ist.
Der DNS-Client versucht ein standardmäßiges dynamisches Update, und wenn die Zone so konfiguriert ist, dass nur sichere dynamische Updates zugelassen werden (die Standardkonfiguration für active Directory-integrierte Zonen), lehnt der DNS-Server das nicht unsichere Update ab. Wenn die Zone für standardmäßige dynamische Updates konfiguriert ist, anstatt eine sichere dynamische Aktualisierung zu gewährleisten, akzeptiert der DNS-Server den Versuch des DNS-Clients, Ressourceneinträge in dieser Zone hinzuzufügen, zu löschen oder zu ändern.
Der DNS-Client und der DNS-Server beginnen mit der TKEY-Aushandlung.
Der DNS-Client und der DNS-Server verhandeln einen zugrunde liegenden Sicherheitsmechanismus. Dynamische Windows-Updateclients und DNS-Server können nur das Kerberos-Protokoll verwenden.
Mithilfe des Sicherheitsmechanismus überprüfen der DNS-Client und der DNS-Server ihre jeweiligen Identitäten und richten den Sicherheitskontext ein.
Der DNS-Client sendet die dynamische Updateanforderung an den DNS-Server, signiert mit dem eingerichteten Sicherheitskontext. Die Signatur ist im Signaturfeld des TSIG-Ressourceneintrags enthalten, der im Paket der dynamischen Aktualisierungsanforderung enthalten ist. Der DNS-Server überprüft den Ursprung des dynamischen Updatepakets mithilfe des Sicherheitskontexts und der TSIG-Signatur.
Der DNS-Server versucht, Ressourceneinträge in Active Directory hinzuzufügen, zu löschen oder zu ändern. Das Update hängt davon ab, ob der DNS-Client über die richtigen Berechtigungen verfügt und ob die Voraussetzungen erfüllt sind.
Der DNS-Server sendet eine Antwort an den DNS-Client, die angibt, ob das Update mithilfe des eingerichteten Sicherheitskontexts signiert werden konnte. Die Signatur ist im Signaturfeld des TSIG-Ressourcendatensatzes enthalten, der im Antwortpaket für dynamische Updates enthalten ist. Wenn der DNS-Client eine gefälschte Antwort empfängt, ignoriert er sie und wartet auf eine signierte Antwort.
Sicherheit für DHCP-Clients, die die FQDN-Option nicht unterstützen
Windows-DHCP-Clients, die die FQDN-Option (Option 81) nicht unterstützen, sind nicht in der Lage, dynamische Updates zu aktualisieren. Wenn Sie möchten, dass die A- und PTR-Ressourceneinträge für diese Clients dynamisch in DNS registriert werden, müssen Sie den DHCP-Server so konfigurieren, dass dynamische Updates in ihrem Auftrag ausgeführt werden.
Wenn der DHCP-Server sichere dynamische Updates im Auftrag von DHCP-Clients ausführt, die die FQDN-Option nicht unterstützen, ist eine zusätzliche Konfiguration erforderlich, um ein Berechtigungsproblem zu vermeiden. Wenn ein DHCP-Server ein sicheres dynamisches Update für einen Namen durchführt, wird er zum Besitzer dieses Namens. Nur dieser DHCP-Server kann jeden Datensatz für diesen Namen aktualisieren.
Angenommen, der DHCP-Server DHCP1 hat ein Objekt für den Namen host1.example.com erstellt und dann nicht mehr reagiert, und dass später der DHCP-Sicherungsserver DHCP2 versucht hat, einen Datensatz für denselben Namen zu aktualisieren. host1.example.com In diesem Fall kann DHCP2 den Namen nicht aktualisieren, da er nicht den Namen besitzt.
Um dieses Problem zu vermeiden, verwenden Sie die integrierte Sicherheitsgruppe "DnsUpdateProxy". Wenn Sie alle DHCP-Server als Mitglieder der DnsUpdateProxy-Gruppe hinzufügen, kann ein anderer Server die Einträge eines Servers aktualisieren, wenn der erste Server fehlschlägt. Da alle objekte, die von den Mitgliedern der DnsUpdateProxy-Gruppe erstellt wurden, nicht gesichert sind, wird der erste Benutzer, der die Datensatzgruppe ändert, die einem DNS-Namen zugeordnet ist, zu seinem Besitzer. Wenn veraltete Clients aktualisiert wurden, können sie den Besitz ihrer Namenseinträge auf dem DNS-Server übernehmen. Wenn jeder DHCP-Server, der Ressourceneinträge für ältere Clients registriert, Mitglied der DnsUpdateProxy-Gruppe ist, treten die zuvor beschriebenen Probleme nicht auf.
Sichern von Datensätzen mithilfe der DnsUpdateProxy-Gruppe
Wenn der DHCP-Server Mitglied der DnsUpdateProxy-Gruppe ist, werden die registrierten DNS-Domänennamen nicht gesichert. Verwenden Sie diese Gruppe daher nicht in einer integrierten Active Directory-Zone, die nur sichere dynamische Updates zulässt, ohne zusätzliche Schritte zu unternehmen, um die von Mitgliedern der Gruppe erstellten Datensätze abzusichern.
Um vor unsicheren Datensätzen zu schützen oder Mitgliedern der DnsUpdateProxy-Gruppe das Registrieren von Datensätzen in Zonen zu ermöglichen, die nur gesicherte dynamische Updates zulassen, erstellen Sie ein dediziertes Benutzerkonto. Konfigurieren Sie mithilfe der Anmeldeinformationen dieses Benutzerkontos DHCP-Server, um dynamische DNS-Updates auszuführen. Mehrere DHCP-Server können die Anmeldeinformationen eines dedizierten Benutzerkontos verwenden.
Das dedizierte Benutzerkonto ist ein Standardbenutzerkonto, das nur zum Bereitstellen von DHCP-Servern mit Anmeldeinformationen für die registrierung dynamischer DNS-Updates verwendet wird. Jeder DHCP-Server stellt diese Anmeldeinformationen beim Registrieren von Namen im Namen von DHCP-Clients mithilfe des dynamischen DNS-Updates bereit. Das dedizierte Benutzerkonto wird in derselben Gesamtstruktur erstellt, in der sich der primäre DNS-Server für die Zone befindet, die aktualisiert werden soll. Das dedizierte Benutzerkonto kann sich auch in einer anderen Gesamtstruktur befinden, sofern diese Gesamtstruktur eine Gesamtstruktur-Vertrauensstellung mit der Gesamtstruktur hat, die den primären DNS-Server für die zu aktualisierende Zone enthält.
Wenn er auf einem Domänencontroller installiert ist, erbt der DHCP-Serverdienst die Sicherheitsberechtigungen des Domänencontrollers. Dies bedeutet, dass er über die Berechtigung verfügt, alle DNS-Einträge zu aktualisieren oder zu löschen, die in einer sicheren integrierten Active Directory-Zone registriert sind. Andere Computer, auf denen Windows Server ausgeführt wird, z. B. Domänencontroller, registrieren diese Einträge sicher. Konfigurieren Sie bei der Installation auf einem Domänencontroller den DHCP-Server mit den Anmeldeinformationen des dedizierten Benutzerkontos, um zu verhindern, dass der Server die Berechtigungen des Domänencontrollers erbt und möglicherweise falsch verwendet.
Konfigurieren Sie ein dediziertes Benutzerkonto, und konfigurieren Sie den DHCP-Serverdienst unter den folgenden Umständen mit den Kontoanmeldeinformationen:
- Ein Domänencontroller ist so konfiguriert, dass er als DHCP-Server funktioniert.
- Der DHCP-Server ist so konfiguriert, dass dynamische DNS-Updates im Auftrag von DHCP-Clients ausgeführt werden.
- Der DHCP-Server aktualisiert DNS-Zonen, die so konfiguriert sind, dass nur sichere dynamische Updates zulässig sind.
Nachdem Sie ein dediziertes Benutzerkonto erstellt haben, können Sie DHCP-Server mit den Anmeldeinformationen des Benutzerkontos mithilfe der DHCP-Konsole oder mithilfe des Befehls netsh dhcp server set dnscredentialskonfigurieren.
Note
Wenn die angegebenen Anmeldeinformationen zu einem Objekt gehören, das Mitglied der DnsUpdateProxy-Sicherheitsgruppe ist, wird das nächste Objekt, das denselben Namenseintrag in DNS registriert, zum Datensatzbesitzer.
Wenn Sie Anmeldeinformationen für den DHCP-Server angeben, der beim Registrieren von DHCP-Clientcomputern in DNS verwendet werden soll, werden diese Anmeldeinformationen nicht gesichert. Nachdem eine DHCP-Datenbank wiederhergestellt wurde, müssen neue Anmeldeinformationen konfiguriert werden.