Condividi tramite

Aggiornamento dinamico

L'aggiornamento dinamico consente ai computer client DNS di registrare e aggiornare i record di risorse con un server DNS ogni volta che si verificano modifiche. Questa funzionalità riduce la necessità di amministrazione manuale dei record di zona, in particolare per i client che spostano o modificano frequentemente le posizioni e usano DHCP per ottenere un indirizzo IP.

I servizi client e server DNS supportano l'aggiornamento dinamico, come descritto in RFC 2136. Il servizio server DNS può abilitare o disabilitare gli aggiornamenti dinamici per ogni zona. Per impostazione predefinita, il servizio client DNS di Windows Server aggiorna dinamicamente i record di risorse host (A) in DNS quando è configurato per TCP/IP. Il servizio server DNS è configurato per consentire solo aggiornamenti dinamici sicuri per impostazione predefinita.

Panoramica del protocollo

RFC 2136 introduce il formato del UPDATE messaggio, che consente di aggiungere ed eliminare record di risorse in una zona specificata durante il controllo delle condizioni dei prerequisiti. L'aggiornamento è atomico, ovvero tutte le condizioni devono essere soddisfatte per l'aggiornamento.

È necessario eseguire il commit dell'aggiornamento della zona in un server DNS primario per tale zona. Il server DNS secondario inoltra un aggiornamento usando la topologia di replica fino a raggiungere il server DNS primario. Quando si usa una zona integrata in Active Directory, è possibile inviare un aggiornamento per un record di risorse in una zona a qualsiasi server DNS in esecuzione in un controller di dominio Active Directory il cui archivio dati contiene la zona.

All'avvio di un processo di trasferimento della zona, blocca la zona. Questo blocco garantisce che un server DNS secondario riceva una visualizzazione coerente della zona durante il trasferimento dei dati. Durante questo periodo, la zona non può accettare aggiornamenti dinamici. Se la zona è grande e spesso bloccata per i trasferimenti, può privare i client degli aggiornamenti dinamici e causare instabilità nel sistema. Per evitare questo problema, il servizio Server DNS di Windows Server accoda le richieste di aggiornamento che arrivano durante il trasferimento della zona ed elabora le richieste dopo il completamento del trasferimento.

Modalità di aggiornamento dei nomi DNS da parte dei computer

Per impostazione predefinita, i computer configurati in modo statico per TCP/IP tentano di registrare dinamicamente i record di risorse dell'host (A) e del puntatore (PTR) per gli indirizzi IP configurati e usati dalle connessioni di rete installate. Tutti i computer registrano i record in base al nome di dominio completo.

I client DNS non tentano l'aggiornamento dinamico degli elementi seguenti:

  • Tramite una connessione di accesso remoto o di rete privata virtuale (VPN). Per modificare questa configurazione, è possibile modificare le impostazioni TCP/IP avanzate della connessione di rete specifica o modificare il Registro di sistema.

  • Zone di dominio di primo livello (TLD). Qualsiasi zona denominata con un nome con etichetta singola viene considerata una zona TLD, ad esempio , comedu, blank, . my-company

Inoltre, per impostazione predefinita, la parte del suffisso DNS primario del nome di dominio completo di un computer corrisponde al nome del dominio di Active Directory a cui viene aggiunto il computer. Per consentire suffissi DNS primari diversi, un amministratore di dominio può creare un elenco limitato di suffissi consentiti modificando l'attributo msDS-AllowedDNSSuffixes nel contenitore di oggetti di dominio. Un amministratore di dominio può gestire l'attributo usando Active Directory Service Interfaces (ADSI) o Lightweight Directory Access Protocol (LDAP). Gli aggiornamenti dinamici possono essere inviati per uno dei motivi o degli eventi seguenti:

  • Viene aggiunto, rimosso o modificato un indirizzo IP nella configurazione delle proprietà TCP/IP per una delle connessioni di rete installate.
  • All'avvio, quando il computer è attivato.
  • Un server membro viene promosso a controller di dominio.
  • La concessione di un indirizzo IP cambia o si rinnova per una delle connessioni di rete installate con il server DHCP, ad esempio quando il computer viene avviato o se viene usato il comando ipconfig /renew.
  • Il ipconfig /registerdns comando viene usato per forzare manualmente un aggiornamento della registrazione del nome client in DNS.

Importante

Se si usa ipconfig /registerdns, il servizio client DNS tenta di registrare direttamente il record DNS, ignorando il server DHCP. Questa registrazione si verifica anche se il server DHCP è configurato per aggiornare sempre i record DNS A e PTR in modo dinamico. Se il client non dispone dell'autorizzazione per aggiornare il record di risorse, la registrazione ha esito negativo in modo invisibile all'utente. Se il client DNS dispone di questa autorizzazione, il record di risorse viene aggiornato. Le autorizzazioni possono essere reimpostate in modo che il server DHCP non sia più in grado di eseguire aggiornamenti futuri nel record di risorse.
Il metodo consigliato per aggiornare la registrazione DNS per i client DHCP che eseguono Windows consiste nell'usare ipconfig /renew. Non usare ipconfig /registerdns.

Quando uno degli eventi precedenti attiva un aggiornamento dinamico, il servizio client DNS invia gli aggiornamenti. Questo trigger è progettato in modo che, se si verifica una modifica alle informazioni sull'indirizzo IP, vengono eseguiti gli aggiornamenti corrispondenti in DNS per sincronizzare i mapping dei nomi e degli indirizzi per il computer. Il servizio client DNS esegue questa funzione per tutte le connessioni di rete usate nel sistema, incluse le connessioni non configurate per l'uso di DHCP.

Questo processo di aggiornamento presuppone che le impostazioni predefinite di installazione siano effettive per i server che eseguono Windows Server. Nomi specifici e comportamento di aggiornamento sono ottimizzabili in cui le proprietà TCP/IP avanzate sono configurate per l'uso di impostazioni DNS non predefinite.

Oltre al nome completo del computer (o al nome primario) del computer, i nomi DNS specifici della connessione possono essere configurati e, facoltativamente, registrati o aggiornati in DNS.

Funzionamento dell'aggiornamento dinamico

Gli aggiornamenti dinamici vengono in genere richiesti quando un nome DNS o un indirizzo IP cambia nel computer. Si supponga, ad esempio, che un client denominato oldhost sia configurato per la prima volta con i nomi seguenti:

  • Nome computer: oldhost
  • Nome di dominio DNS: example.contoso.com
  • Nome computer completo: oldhost.example.contoso.com

In questo esempio non vengono configurati nomi di dominio DNS specifici della connessione per il computer. Successivamente, il computer viene rinominato da oldhost a newhost, con conseguente modifica del nome nel sistema:

  • Nome computer: newhost
  • Nome di dominio DNS: example.contoso.com
  • Nome computer completo: newhost.example.contoso.com

Dopo l'applicazione della modifica del nome nelle proprietà di sistema, viene richiesto di riavviare il computer. Quando il computer riavvia Windows, il servizio client DNS esegue la sequenza seguente per aggiornare IL DNS:

  1. Il servizio client DNS invia una query di tipo SOA usando il nome di dominio DNS del computer.

    Il computer client usa l'FQDN attualmente configurato del computer, ad esempio newhost.example.contoso.com, come il nome specificato in questa query.

  2. Il server DNS autorevole per la zona contenente il nome di dominio completo del client risponde alla query di tipo SOA.

    Per le zone primarie standard, il server primario (proprietario) restituito nella risposta di query SOA è fisso e statico. Corrisponde sempre al nome DNS esatto visualizzato nel record di risorse SOA archiviato con la zona. Se la zona da aggiornare è integrata nella directory, qualsiasi server DNS che gira su un controller di dominio per il dominio Active Directory nel nome di dominio completo può rispondere. Può inserire dinamicamente il proprio nome come server primario (proprietario) della zona nella risposta di query SOA.

  3. Il servizio client DNS tenta quindi di contattare il server DNS primario.

    Il client elabora la risposta di query SOA del proprio nome per determinare l'indirizzo IP del server DNS autorizzato quale server primario per accettare il proprio nome. Procede quindi per eseguire la sequenza di passaggi seguente in base alle esigenze per contattare e aggiornare dinamicamente il server primario:

    • Invia una richiesta di aggiornamento dinamico al server primario determinato nella risposta di query SOA.
    • Se l'aggiornamento ha esito positivo, non vengono eseguite altre azioni.
    • Se l'aggiornamento non riesce, il client invia quindi una query di tipo NS per il nome della zona specificato nel record SOA.
    • Quando riceve una risposta a questa query, invia una query SOA al primo server DNS elencato nella risposta.

    Dopo aver risolto la query SOA, il client invia un aggiornamento dinamico al server specificato nel record SOA restituito.

    • Se l'aggiornamento ha esito positivo, non vengono eseguite altre azioni.
    • Se l'aggiornamento non riesce, il client ripete il processo di query SOA inviando una richiesta al server DNS successivo elencato nella risposta.

  4. Dopo che il server DNS primario in grado di eseguire l'aggiornamento viene contattato, il client invia la richiesta di aggiornamento e il server DNS lo elabora.

    Il contenuto della richiesta di aggiornamento include le istruzioni per aggiungere record di risorse A (ed eventualmente PTR) per newhost.example.contoso.com e rimuovere questi stessi tipi di record per oldhost.example.contoso.com, il nome registrato in precedenza.

    Il server DNS verifica anche che gli aggiornamenti siano consentiti per la richiesta client. Per le zone primarie standard, gli aggiornamenti dinamici non sono protetti, quindi qualsiasi tentativo di aggiornamento client ha esito positivo. Per le zone integrate in Active Directory, gli aggiornamenti vengono protetti e eseguiti usando le impostazioni di sicurezza basate su directory. Per altre informazioni, vedere la sezione Secure dynamic update più avanti in questo articolo.

Gli aggiornamenti dinamici vengono inviati o aggiornati periodicamente. Per impostazione predefinita, i computer inviano un aggiornamento una volta ogni sette giorni. Se l'aggiornamento non comporta modifiche ai dati della zona, la zona rimane nella versione corrente e non vengono scritte modifiche. Gli aggiornamenti comportano modifiche di zona o trasferimenti di zona aumentati solo quando cambiano i nomi o gli indirizzi.

I nomi non vengono rimossi dalle zone DNS se diventano inattivi o non vengono aggiornati entro l'intervallo di aggiornamento (sette giorni). DNS non dispone di un meccanismo per rilasciare o segnare come eliminati definitivamente i nomi. Tuttavia, i client DNS tentano di eliminare i record dei nomi precedenti quando viene applicato un nuovo nome. I client DNS tentano anche di aggiornare i record dei nomi quando si verifica una modifica dell'indirizzo.

Quando il servizio client DNS registra i record di risorse A e PTR per un computer, usa un valore TTL (Time To Live) di memorizzazione nella cache predefinito di 15 minuti per i record host. Questo TTL determina per quanto tempo altri server DNS e client memorizzano nella cache i record di un computer quando vengono inclusi in una risposta di query.

Durata (TTL)

Ogni volta che un client di aggiornamento dinamico viene registrato in DNS, i record di risorse A e PTR associati includono il TTL (Time to Live). Per impostazione predefinita, la durata (TTL) è impostata su 10 minuti per i record registrati dal servizio Netlogon. Per i record registrati dal servizio client DHCP, la durata (TTL) è impostata su 15 minuti. Se il servizio server DNS registra dinamicamente i record per le proprie zone, la durata (TTL) predefinita è di 20 minuti. È possibile modificare l'impostazione predefinita nel Registro di sistema. Un valore ridotto causa la scadenza delle voci memorizzate nella cache prima, che aumenta il traffico DNS, ma riduce il rischio che i record memorizzati nella cache diventino obsoleti. Le voci destinate a scadere rapidamente sono utili per i computer che rinnovano frequentemente i lease DHCP. I tempi di conservazione lunghi sono utili per i computer che rinnovano i lease DHCP raramente.

Risoluzione dei conflitti di nomi

Quando il servizio client DNS tenta di registrare un record A, verifica se la zona DNS autorevole contiene già un record A per lo stesso nome ma con un indirizzo IP diverso. Per impostazione predefinita, il servizio client DNS tenta di sostituire il record A esistente (o i record) con il nuovo record A contenente l'indirizzo IP del client DNS. Di conseguenza, qualsiasi computer in rete può modificare il record A esistente a meno che non venga usato l'aggiornamento dinamico sicuro. Le zone configurate per l'aggiornamento dinamico sicuro consentono solo agli utenti autorizzati di modificare il record di risorse.

È possibile modificare l'impostazione predefinita in modo che il servizio client DNS termini il processo di registrazione e registri l'errore nel Visualizzatore eventi, anziché sostituire il record A esistente. Per altre informazioni, vedere la sezione Secure dynamic update più avanti in questo articolo.

DNS e DHCP

I client DNS Windows sono in grado di conoscere gli aggiornamenti dinamici e possono avviare il processo di aggiornamento dinamico. Un client DNS negozia il processo di aggiornamento dinamico con il server DHCP quando il client effettua il lease di un indirizzo IP o rinnova il lease. Questa negoziazione determina quale computer è responsabile di aggiornare i record delle risorse A e PTR del cliente. Il client DNS e il server DHCP negoziano chi aggiorna i record. Il client e il server inviano richieste di aggiornamento dinamico ai server DNS primari autorevoli per i nomi da aggiornare.

Il servizio Server DHCP di Windows Server può aggiornare i record DNS per i client che non supportano l'opzione FQDN del servizio client DHCP. Questa funzionalità può essere abilitata nella scheda DNS delle proprietà del server per la console DHCP. Il server DHCP ottiene innanzitutto il nome dei client legacy dal DHCP REQUEST pacchetto. Aggiunge quindi il nome di dominio specificato per tale ambito e registra i record di risorse A e PTR.

In alcuni casi, PTR non aggiornati o record di risorse A possono comparire nei server DNS alla scadenza del lease di un client DHCP. Ad esempio, quando un client DNS tenta di negoziare una procedura di aggiornamento dinamico con un server DHCP, il client DNS deve registrare sia record di risorse A che PTR stesso. In seguito, se il client viene rimosso in modo non corretto dalla rete, il client non può annullare la registrazione dei record di risorse A e PTR e diventa obsoleto.

Se un record di risorsa non aggiornato viene visualizzato in una zona che consente solo aggiornamenti dinamici sicuri, nessun computer è in grado di registrare altri record di risorse per il nome in tale record di risorsa A. Per evitare problemi con i record di risorse PTR e A obsoleti, è possibile abilitare la funzionalità di invecchiamento e pulizia. Per ulteriori informazioni sulla funzionalità di invecchiamento e scavenging, consultare Invecchiamento e scavenging DNS.

Per fornire la tolleranza di errore per gli aggiornamenti dinamici, prendere in considerazione l'integrazione di Active Directory per le zone che accettano aggiornamenti dinamici dai client Windows. Per velocizzare l'individuazione dei server DNS autorevoli, è possibile configurare ogni client con un elenco di server DNS preferiti e alternativi primari per la zona integrata nella directory. Se un client non riesce ad aggiornare la zona con il server DNS preferito perché il server DNS non è disponibile, il client può provare un server alternativo. Quando il server DNS preferito diventa disponibile, carica la zona aggiornata integrata nella directory che include l'aggiornamento dal client.

Processo di aggiornamento dinamico

In questa sezione viene descritto il processo di aggiornamento dinamico per i client DHCP, i client configurati in modo statico, i client di accesso remoto e i client multihomed.

Processo client del DHCP

Per avviare il processo di aggiornamento dinamico, il client DHCP invia il nome di dominio completo al server DHCP nel DHCPREQUEST pacchetto usando l'opzione FQDN del servizio client DHCP. Il server DHCP risponde quindi al client DHCP inviando un messaggio di riconoscimento DHCP (DHCPACK) che include l'opzione FQDN (codice opzione 81).

Nella tabella seguente sono elencati i campi dell'opzione FQDN del DHCPREQUEST pacchetto.

Campo Spiegazione
Codice Specifica il codice per questa opzione (81).
Len Specifica la lunghezza, espressa in ottetti, di questa opzione (almeno 4).
Bandiere Può essere uno dei valori seguenti:

0. Il client vuole registrare il record di risorsa A e richiede che il server aggiorni il record di risorse PTR.

1. Il client vuole che il server registri i record di risorse A e PTR.

3. Il server DHCP registra i record di risorse A e PTR indipendentemente dalla richiesta del client.
RCODE1 e RCODE2 Il server DHCP usa questi campi per specificare il codice di risposta delle registrazioni delle risorse A e PTR eseguite per conto del client e per indicare se ha tentato l'aggiornamento prima di inviare DHCPACK.
Nome dominio Specifica il nome di dominio completo del client.

Le condizioni in cui i client DHCP inviano l'opzione FQDN dipendono dal sistema operativo in cui è in esecuzione il client e dalla modalità di configurazione del client. Le azioni eseguite dai server DHCP dipendono anche dal sistema operativo in cui è in esecuzione il server e dalla modalità di configurazione del server.

Per impostazione predefinita, il servizio client DHCP di Windows usa il processo seguente.

  1. Il servizio client DHCP windows invia l'opzione FQDN con il campo Flags impostato su 0. Questo flag richiede che il client aggiorni il record di risorsa A e il servizio server DHCP aggiorni il record di risorse PTR.

  2. Il client attende una risposta dal server DHCP. A meno che il server DHCP non imposti il campo Flags su 3, il client DNS avvia quindi un aggiornamento per il record di risorsa A.

  3. Se il server DHCP non supporta o non è configurato per la registrazione del record DNS, nella risposta non è incluso un nome di dominio completo. In questo caso, il client DNS tenta di registrare i record di risorse A e PTR.

A seconda delle richieste del client DHCP, il server DHCP può eseguire azioni diverse.

Se il client DHCP invia un DHCPREQUEST messaggio senza l'opzione FQDN, il comportamento dipende dal tipo di server DHCP e dalla relativa configurazione. Il server DHCP aggiorna entrambi i record se si configura per aggiornare i record per conto dei client DHCP che non supportano l'opzione FQDN.

Nei casi seguenti, il server DHCP non esegue alcuna azione:

  • Il server DHCP non supporta l'aggiornamento dinamico.

  • Il server DHCP non è configurato per eseguire aggiornamenti dinamici per i client che non supportano l'opzione FQDN.

  • Il server DHCP è configurato per non registrare i record di risorse DNS.

Se il client DHCP di Windows richiede che il server aggiorni il record di risorse PTR ma non il record di risorsa A, il comportamento dipende dal tipo di server DHCP e dalla relativa configurazione.

Il server può eseguire una delle azioni seguenti:

  • Se il server DHCP Windows è configurato per non eseguire aggiornamenti dinamici, non include l'opzione FQDN nella risposta. Inoltre, non aggiorna alcun record di risorsa. In questo caso, il client DNS tenta di aggiornare entrambi i record di risorse A e PTR, se è in grado di farlo.

  • Se il server DHCP Windows è configurato per l'aggiornamento in base alla richiesta del client DHCP, il server tenta di aggiornare il record di risorse PTR. Il server DHCP invia un DHCPACK messaggio al client DHCP. Questo messaggio contiene l'opzione FQDN con il campo Flags impostato su 0. Il DHCPACK messaggio conferma che il server DHCP aggiorna il record PTR. Il client DNS tenta quindi di aggiornare il record di risorsa A, se è in grado di farlo.

  • Se il server DHCP è configurato per aggiornare sempre entrambi i record A e PTR, il server DHCP tenta di aggiornare entrambi i record di risorse. Il messaggio del server DHCPACK DHCP al client DHCP contiene l'opzione FQDN con il campo Flags impostato su 3, notificando al client DHCP che il server DHCP aggiorna i record A e PTR. In questo caso, il client DNS non tenta di aggiornare alcun record di risorse.

Processo dei client di accesso remoto e configurato in modo statico

I client e i client di accesso remoto configurati in modo statico non si basano sul server DHCP per la registrazione DNS. I client configurati in modo statico aggiornano dinamicamente i record di risorse A e PTR ogni volta che iniziano. I client aggiornano anche ogni 24 ore per aggiornare i record nel database DNS.

I client di accesso remoto possono aggiornare dinamicamente i record di risorse A e PTR quando viene stabilita una connessione remota. Possono anche tentare di ritirare o annullare la registrazione dei record di risorse A e PTR quando l'utente chiude la connessione in modo esplicito. I computer che eseguono Windows Server con una connessione di rete di accesso remoto tentano di registrare dinamicamente i record A e PTR per l'indirizzo IP di questa connessione. Per impostazione predefinita, il servizio client DNS nel client Windows non tenta l'aggiornamento dinamico tramite un accesso remoto o una connessione VPN. Per modificare questa configurazione, è possibile modificare le impostazioni TCP/IP avanzate della connessione di rete specifica o modificare il Registro di sistema.

In tutti i sistemi operativi, se un client di accesso remoto non riceve una risposta corretta dal tentativo di annullare la registrazione di un record di risorse DNS o non riesce per qualsiasi altro motivo per annullare la registrazione di un record di risorsa entro quattro secondi, il client DNS chiude la connessione. In questi casi, il database DNS potrebbe contenere un record non aggiornato.

Se il client di accesso remoto non riesce a annullare la registrazione di un record di risorse DNS, aggiunge un messaggio al registro eventi, che è possibile visualizzare tramite Visualizzatore eventi. Il client di accesso remoto non elimina mai i record non aggiornati, ma il server di accesso remoto tenta di annullare la registrazione del record di risorse PTR quando il client è disconnesso.

Per impostazione predefinita, il servizio client DNS Windows non tenta di aggiornare automaticamente i record A e PTR per le connessioni remote.

Processo client multihomed

Se un client di aggiornamento dinamico è multihomed, ovvero il client ha più di una connessione di rete e l'indirizzo IP associato, registra tutti gli indirizzi IP per ogni connessione di rete. Se non si vuole registrare questi indirizzi IP, è possibile configurare la connessione di rete per non registrare gli indirizzi IP.

Il client di aggiornamento dinamico non registra completamente gli indirizzi IP con i server DNS in tutti i namespace a cui il computer è connesso. Ad esempio, un computer multihomed, client1.example.contoso.com, è connesso sia a Internet che alla Intranet aziendale. Il client è connesso alla intranet tramite l'adapter A, una scheda DHCP con l'indirizzo 172.16.8.7IP . Il client è anche connesso a Internet tramite la scheda B, una scheda di accesso remoto con l'indirizzo 10.3.3.9IP . Il client risolve i nomi Intranet usando un server dei nomi nella intranet e risolve i nomi Internet usando un server dei nomi su Internet.

Proteggere l'aggiornamento dinamico

La sicurezza degli aggiornamenti DNS è disponibile solo per le zone integrate in Active Directory. Quando si integra una zona in Active Directory, gli elenchi di controllo di accesso (ACL) sono disponibili nella console DNS per aggiungere o rimuovere utenti e gruppi dall'ACL per una zona o un record di risorse specificato. Gli ACL sono solo per il controllo di accesso di amministrazione DNS e non influiscono sulla risoluzione delle query DNS.

Per impostazione predefinita, la sicurezza degli aggiornamenti dinamici per server e client DNS viene gestita come segue:

  • I client DNS tentano prima di tutto di usare l'aggiornamento dinamico non protetto. Se un aggiornamento non protetto viene rifiutato, i client provano a usare l'aggiornamento sicuro.

    I criteri di aggiornamento predefiniti consentono ai client di tentare di sovrascrivere un record di risorse registrato in precedenza, a meno che non venga bloccato.

  • Dopo che una zona diventa integrata in Active Directory, per impostazione predefinita i server DNS che eseguono Windows Server consentono solo aggiornamenti dinamici sicuri.

    Quando si usa l'archiviazione di zona basata su file, l'impostazione predefinita per il servizio server DNS consiste nel non consentire gli aggiornamenti dinamici nelle relative zone. Per le zone integrate nella directory o che usano l'archiviazione standard basata su file, è possibile modificare la zona per consentire tutti gli aggiornamenti dinamici. Questa impostazione consente di accettare tutti gli aggiornamenti.

L'aggiornamento dinamico è un'aggiunta alla specifica standard DNS, definita in RFC 2136.

La registrazione dinamica dei record di risorse DNS può essere limitata con l'uso di voci del Registro di sistema.

Funzionamento dell'aggiornamento dinamico sicuro

Il processo di aggiornamento dinamico sicuro è descritto come segue:

  1. Per avviare un aggiornamento dinamico sicuro, il client DNS avvia innanzitutto il processo di negoziazione del contesto di sicurezza, durante il quale i token vengono passati tra client e server usando record di risorse TKEY. Al termine del processo di negoziazione, viene stabilito il contesto di sicurezza.

  2. Il client DNS invia la richiesta di aggiornamento dinamico al server DNS. Questa richiesta contiene record di risorse per l'aggiunta, l'eliminazione o la modifica dei dati.

    1. La richiesta viene firmata usando il contesto di sicurezza stabilito in precedenza.

    2. La firma viene passata nel record di risorse TSIG, incluso nel pacchetto di aggiornamento dinamico.

  3. Il server tenta di aggiornare Active Directory usando le credenziali del client e invia il risultato dell'aggiornamento al client. Questi risultati vengono firmati anche usando il contesto di sicurezza e la firma inclusa nel record delle risorse TSIG presente nella risposta.

Processo di aggiornamento dinamico sicuro

Il processo di aggiornamento dinamico sicuro è descritto come segue:

  1. Il client DNS esegue una query sul server DNS preferito per determinare quale server DNS è autorevole per il nome di dominio che sta tentando di aggiornare. Il server DNS preferito risponde con il nome della zona e il server DNS primario autorevole per la zona.

  2. Il client DNS tenta un aggiornamento dinamico standard e se la zona è configurata per consentire solo aggiornamenti dinamici sicuri (la configurazione predefinita per le zone integrate di Active Directory), il server DNS rifiuta l'aggiornamento non sicuro. Se la zona è configurata per l'aggiornamento dinamico standard anziché per l'aggiornamento dinamico sicuro, il server DNS accetta il tentativo del client DNS di aggiungere, eliminare o modificare i record di risorse in tale zona.

  3. Il client DNS e il server DNS iniziano la negoziazione TKEY.

    1. Il client DNS e il server DNS negoziano un meccanismo di sicurezza sottostante. I client di aggiornamento dinamico windows e i server DNS possono usare solo il protocollo Kerberos.

    2. Usando il meccanismo di sicurezza, il client DNS e il server DNS verificano le rispettive identità e stabiliscono il contesto di sicurezza.

  4. Il client DNS invia la richiesta di aggiornamento dinamico al server DNS, firmata usando il contesto di sicurezza stabilito. La firma è inclusa nel campo della firma del record di risorse TSIG incluso nel pacchetto di richiesta di aggiornamento dinamico. Il server DNS verifica l'origine del pacchetto di aggiornamento dinamico usando il contesto di sicurezza e la firma TSIG.

  5. Il server DNS tenta di aggiungere, eliminare o modificare i record di risorse in Active Directory. L'aggiornamento dipende dal fatto che il client DNS disponga delle autorizzazioni appropriate e se i prerequisiti siano soddisfatti.

  6. Il server DNS invia una risposta al client DNS che indica se è stato in grado di eseguire l'aggiornamento, firmato usando il contesto di sicurezza stabilito. La firma è inclusa nel campo della firma del record di risorse TSIG incluso nel pacchetto di risposta di aggiornamento dinamico. Se il client DNS riceve una risposta contraffatta, la ignora e attende una risposta firmata.

Sicurezza per i client DHCP che non supportano l'opzione FQDN

I client DHCP Windows che non supportano l'opzione FQDN (opzione 81) non sono in grado di aggiornare dinamicamente. Se si desidera che i record di risorse A e PTR per questi client siano registrati dinamicamente in DNS, è necessario configurare il server DHCP per eseguire aggiornamenti dinamici per loro conto.

Se il server DHCP esegue aggiornamenti dinamici sicuri per conto dei client DHCP che non supportano l'opzione FQDN, è necessaria una configurazione aggiuntiva per evitare un problema di autorizzazione. Quando un server DHCP esegue un aggiornamento dinamico sicuro su un nome, diventa il proprietario di tale nome. Solo il server DHCP può aggiornare qualsiasi record per tale nome.

Si supponga, ad esempio, che il server DHCP1 abbia creato un oggetto per il nome host1.example.com e che poi abbia smesso di rispondere, e che successivamente il server DHCP di backup, DHCP2, abbia tentato di aggiornare un record per lo stesso nome, host1.example.com. In questo caso DHCP2 non è in grado di aggiornare il nome perché non è proprietario del nome.

Per evitare questo problema, usare il gruppo di sicurezza predefinito denominato DnsUpdateProxy. Se si aggiungono tutti i server DHCP come membri del gruppo DnsUpdateProxy, un altro server può aggiornare i record di un server se il primo server ha esito negativo. Inoltre, poiché tutti gli oggetti creati dai membri del gruppo DnsUpdateProxy non sono protetti, il primo utente a modificare il set di record associati a un nome DNS diventa il proprietario. Quando i client legacy vengono aggiornati, possono assumere la proprietà dei record dei nomi nel server DNS. Se ogni server DHCP che registra i record di risorse per i client meno recenti è membro del gruppo DnsUpdateProxy, i problemi descritti in precedenza non si verificano.

Protezione dei record tramite il gruppo DnsUpdateProxy

Quando il server DHCP è membro del gruppo DnsUpdateProxy, non protegge i nomi di dominio DNS registrati. Di conseguenza, non usare questo gruppo in una zona integrata di Active Directory che consente di proteggere solo gli aggiornamenti dinamici senza eseguire altri passaggi per consentire la protezione dei record creati dai membri del gruppo.

Per proteggersi da record non protetti o per consentire ai membri del gruppo DnsUpdateProxy di registrare i record nelle zone che consentono solo gli aggiornamenti dinamici protetti, creare un account utente dedicato. Usando le credenziali di questo account utente, configurare i server DHCP per eseguire gli aggiornamenti dinamici DNS. Più server DHCP possono usare le credenziali di un account utente dedicato.

L'account utente dedicato è un account utente standard usato solo per fornire ai server DHCP le credenziali per la registrazione degli aggiornamenti dinamici DNS. Ogni server DHCP fornisce queste credenziali durante la registrazione dei nomi per conto dei client DHCP tramite l'aggiornamento dinamico DNS. L'account utente dedicato viene creato nella stessa foresta in cui risiede il server DNS primario per la zona da aggiornare. L'account utente dedicato può anche trovarsi in un'altra foresta, purché la foresta in cui si trova abbia un trust tra foreste stabilito con la foresta contenente il server DNS primario responsabile della zona da aggiornare.

Se installato in un controller di dominio, il servizio server DHCP eredita le autorizzazioni di sicurezza del controller di dominio. Ciò significa che ha l'autorità di aggiornare o eliminare qualsiasi record DNS registrato in una zona protetta integrata di Active Directory. Altri computer che eseguono Windows Server, ad esempio controller di dominio, registrano in modo sicuro questi record. Quando è installato in un controller di dominio, configurare il server DHCP con le credenziali dell'account utente dedicato per impedire al server di ereditare e possibilmente di usare in modo improprio i privilegi del controller di dominio.

Configurare un account utente dedicato e configurare il servizio server DHCP con le credenziali dell'account nelle circostanze seguenti:

  • Un controller di dominio è configurato per funzionare come server DHCP.
  • Il server DHCP è configurato per eseguire aggiornamenti dinamici DNS per conto dei client DHCP.
  • Il server DHCP aggiorna le zone DNS configurate per consentire solo aggiornamenti dinamici sicuri.

Dopo aver creato un account utente dedicato, è possibile configurare i server DHCP con le credenziali dell'account utente usando la console DHCP o il comando netsh dhcp server set dnscredentials.

Annotazioni

  • Se le credenziali specificate appartengono a un oggetto membro del gruppo di sicurezza DnsUpdateProxy, l'oggetto successivo per registrare lo stesso record di nome in DNS diventerà il proprietario del record.

  • Se si specificano le credenziali per il server DHCP da usare durante la registrazione di computer client DHCP in DNS, queste credenziali non vengono sottoposte a backup. Dopo il ripristino di un database DHCP, è necessario configurare nuove credenziali.