Поделиться через

Динамическое обновление

Динамическое обновление позволяет клиентским компьютерам DNS регистрировать и обновлять записи ресурсов на DNS-сервере при каждом изменении. Эта функция снижает потребность в ручном администрировании записей зон, особенно для клиентов, которые часто перемещают или изменяют расположения и используют DHCP для получения IP-адреса.

Службы DNS-клиента и сервера поддерживают динамическое обновление, как описано в RFC 2136. Служба DNS-сервера может включать или отключать динамические обновления на основе каждой зоны. По умолчанию служба DNS-клиента Windows Server динамически обновляет записи ресурсов узла (A) в DNS при настройке TCP/IP. Служба DNS-сервера настроена для разрешения только безопасных динамических обновлений по умолчанию.

Общие сведения о протоколе

RFC 2136 представляет формат сообщения UPDATE, который позволяет добавлять и удалять записи ресурсов в указанной зоне при проверке предварительных условий. Обновление является атомарным, что означает, что все условия должны выполняться для обновления.

Обновление зоны должно быть зафиксировано на основном DNS-сервере для этой зоны. Вторичный DNS-сервер перенаправит обновление с помощью топологии репликации, пока не достигнет основного DNS-сервера. При использовании зоны, интегрированной с Active Directory, обновление записи ресурсов в зоне можно отправить на любой DNS-сервер, работающий на контроллере домена Active Directory, хранилище данных которого содержит зону.

При запуске процесса передачи зоны он блокирует зону. Эта блокировка гарантирует, что вторичный DNS-сервер получает согласованное представление зоны при передаче данных. В течение этого времени зона не может принимать динамические обновления. Если зона является большой и часто блокируемой для передачи, она может лишать клиентов динамического обновления и вызывать нестабильность системы. Чтобы избежать этой проблемы, служба DNS-сервера Windows Server помещает в очередь запросы на обновление, поступающие во время передачи зоны, и обрабатывает их после завершения передачи.

Как компьютеры обновляют свои DNS-имена

По умолчанию компьютеры с статической настройкой TCP/IP пытаются динамически зарегистрировать хост (A) и ресурсные записи указателя (PTR) для IP-адресов, настроенных и используемых их сетевыми подключениям. Все компьютеры регистрируют записи на основе FQDN (полностью квалифицированного доменного имени).

DNS-клиенты не пытаются выполнить динамическое обновление следующих элементов:

  • Через удаленный доступ или подключение к виртуальной частной сети (VPN). Чтобы изменить эту конфигурацию, можно изменить расширенные параметры TCP/IP конкретного сетевого подключения или изменить реестр.

  • Зоны домена верхнего уровня (TLD). Любая зона с именем одной метки считается зоной TLD, например com, edu, blank, my-company.

Кроме того, по умолчанию основная часть dns-суффикса полного доменного имени компьютера совпадает с именем домена Active Directory, к которому присоединен компьютер. Чтобы разрешить различные суффиксы DNS, администратор домена может создать ограниченный список разрешенных суффиксов, изменив атрибут msDS-AllowDNSSuffixes в контейнере объектов домена. Администратор домена может управлять атрибутом с помощью интерфейсов службы Active Directory (ADSI) или протокола LDAP. Динамические обновления можно отправлять по любым из следующих причин или событий:

  • IP-адрес добавляется, удаляется или изменяется в конфигурации свойств TCP/IP для любого установленного сетевого подключения.
  • Во время запуска, когда компьютер включен.
  • Сервер-член повышается до контроллера домена.
  • Аренда IP-адреса изменяется или обновляется с DHCP-сервером для любого из установленных сетевых подключений, например, при запуске компьютера или использовании команды ipconfig /renew.
  • Команда ipconfig /registerdns используется для принудительного обновления регистрации имени клиента в DNS вручную.

Это важно

Если вы используете ipconfig /registerdns, служба DNS-клиента пытается напрямую зарегистрировать запись DNS, обходя DHCP-сервер. Эта регистрация возникает, даже если DHCP-сервер настроен для динамического обновления записей DNS A и PTR. Если у клиента нет разрешения на обновление записи ресурсов, регистрация автоматически завершается ошибкой. Если DNS-клиент имеет это разрешение, запись ресурса обновляется. Разрешения можно сбросить таким образом, чтобы DHCP-сервер больше не мог выполнять будущие обновления в записи ресурса.
Рекомендуемый метод обновления регистрации DNS для DHCP-клиентов под управлением Windows — использовать ipconfig /renew. Не используйте ipconfig /registerdns.

Когда одно из предыдущих событий активирует динамическое обновление, служба DNS-клиента отправляет обновления. Этот триггер разработан таким образом, чтобы при изменении сведений ОБ IP-адресе соответствующие обновления в DNS выполнялись для синхронизации сопоставлений имен с адресами для компьютера. Служба DNS-клиента выполняет эту функцию для всех сетевых подключений, используемых в системе, включая подключения, не настроенные для использования DHCP.

В этом процессе обновления предполагается, что установка по умолчанию действует для серверов под управлением Windows Server. Конкретные имена и поведение обновления можно настроить, если расширенные свойства TCP/IP настроены для использования параметров DNS, не являющихся неотделимыми.

Помимо полного имени компьютера (или основного имени) компьютера можно настроить и при необходимости зарегистрировать или обновить dns-имена для конкретного подключения.

Как работает динамическое обновление

Динамические обновления обычно запрашиваются при изменении DNS-имени или IP-адреса на компьютере. Например, предположим, что клиент с именем oldhost сначала настроен со следующими именами:

  • Имя компьютера: oldhost
  • DNS-доменное имя: example.contoso.com
  • Полное имя компьютера: oldhost.example.contoso.com

В этом примере для компьютера не настраиваются доменные имена DNS, относящиеся к конкретному подключению. Позже компьютер переименовывается из oldhost в newhost, что приводит к следующим изменениям имени в системе:

  • Имя компьютера: newhost
  • DNS-доменное имя: example.contoso.com
  • Полное имя компьютера: newhost.example.contoso.com

После применения изменения имени в свойствах системы вам будет предложено перезагрузить компьютер. Когда компьютер перезагрузит Windows, служба DNS-клиента выполняет следующую последовательность для обновления DNS:

  1. Служба DNS-клиента отправляет запрос типа SOA с помощью DNS-имени домена компьютера.

    Клиентский компьютер использует полное доменное имя компьютера (например, newhost.example.contoso.com) в качестве имени, указанного в этом запросе.

  2. Доверенный DNS-сервер для зоны, содержащей полное доменное имя клиента, отвечает на запрос типа SOA.

    Для стандартных первичных зон основной сервер (владелец), возвращаемый в ответе запроса SOA, является фиксированным и статическим. Он всегда совпадает с точным именем DNS, как это указано в ресурсной записи SOA, хранящейся в зоне. Если обновляемая зона интегрирована с Active Directory, любой DNS-сервер, работающий на контроллере домена для домена Active Directory в FQDN, может ответить. Он может динамически вставлять собственное имя в качестве основного сервера (владельца) зоны в ответе запроса SOA.

  3. Затем служба DNS-клиента пытается связаться с основным DNS-сервером.

    Клиент обрабатывает ответ запроса SOA для его имени, чтобы определить IP-адрес DNS-сервера, авторизованного в качестве основного сервера для принятия его имени. Затем он переходит к выполнению следующей последовательности шагов, необходимых для контакта и динамического обновления его основного сервера:

    • Он отправляет запрос динамического обновления на основной сервер, определенный в ответе запроса SOA.
    • Если обновление выполнено успешно, дальнейшие действия не принимаются.
    • Если это обновление завершается ошибкой, клиент затем отправляет запрос типа NS для имени зоны, указанного в записи SOA.
    • Когда он получает ответ на этот запрос, он отправляет запрос SOA на первый DNS-сервер, указанный в ответе.

    После разрешения запроса SOA клиент отправляет динамическое обновление серверу, указанному в возвращенной записи SOA.

    • Если обновление выполнено успешно, дальнейшие действия не принимаются.
    • Если это обновление завершается ошибкой, клиент повторяет процесс запроса SOA, отправив запрос на следующий DNS-сервер, указанный в ответе.

  4. После обращения к основному DNS-серверу, который может выполнить обновление, клиент отправляет запрос на обновление и DNS-сервер обрабатывает его.

    Содержимое запроса на обновление содержит инструкции по добавлению записей ресурсов A (и, возможно, PTR) для newhost.example.contoso.com и удалению этих же типов записей для oldhost.example.contoso.com, имени, которое было зарегистрировано ранее.

    DNS-сервер также проверяет, разрешены ли обновления для запроса клиента. Для стандартных основных зон динамические обновления не защищены, поэтому любая попытка обновления клиента завершается успешно. Для зон, интегрированных с Active Directory, обновления защищены и выполняются с помощью параметров безопасности на основе каталогов. Дополнительные сведения см. в разделе " Безопасное динамическое обновление " далее в этой статье.

Динамические обновления отправляются или обновляются периодически. По умолчанию компьютеры отправляют обновление каждые семь дней. Если обновление не приведет к изменению данных зоны, зона остается в текущей версии и никаких изменений не записывается. Обновления приводят к изменению зоны или увеличению передачи зоны только если изменяются имена или адреса.

Имена не удаляются из зон DNS, если они становятся неактивными или не обновляются в течение интервала обновления (семь дней). DNS не имеет механизма выпуска или имен могил. Однако DNS-клиенты пытаются удалить старые записи имен при применении нового имени. DNS-клиенты также пытаются обновить записи имен при изменении адреса.

Когда служба DNS-клиента регистрирует записи ресурсов A и PTR для компьютера, для записей узлов используется значение времени жизни по умолчанию (TTL), которое составляет 15 минут. Этот TTL определяет, сколько времени другие DNS-серверы и клиенты кэшируют записи компьютера при их включении в ответ запроса.

Время жизни

Каждый раз, когда клиент динамического обновления регистрируется в DNS, связанные ресурсные записи A и PTR включают время жизни (TTL). По умолчанию значение TTL равно 10 минут для записей, зарегистрированных службой Netlogon. Для записей, зарегистрированных службой DHCP-клиента, значение TTL имеет значение 15 минут. Если служба DNS-сервера динамически регистрирует записи для собственных зон, значение по умолчанию — 20 минут. Параметр по умолчанию можно изменить в реестре. Небольшое значение приводит к истечении срока действия кэшированных записей, что увеличивает трафик DNS, но снижает риск устаревших кэшированных записей. Ускоренное истечение срока действия записей полезно для компьютеров, которые часто обновляют свои DHCP-лизинг. Длительное время хранения полезно для компьютеров, которые обновляют аренду DHCP редко.

Разрешение конфликтов имен

Когда служба DNS-клиента пытается зарегистрировать запись A, она проверяет, уже содержит ли авторитетная зона DNS запись A для того же имени, но с другим IP-адресом. По умолчанию служба DNS-клиента пытается заменить существующую запись A (или записи) новой записью A, содержащей IP-адрес DNS-клиента. В результате любой компьютер в сети может изменить существующую запись A, если не используется безопасное динамическое обновление. Зоны, настроенные для безопасного динамического обновления, позволяют только авторизованным пользователям изменять запись ресурса.

Вы можете изменить параметр по умолчанию, чтобы служба DNS-клиента завершает процесс регистрации и регистрирует ошибку в средстве просмотра событий вместо замены существующей записи A. Дополнительные сведения см. в разделе " Безопасное динамическое обновление " далее в этой статье.

DNS и DHCP

Клиенты Windows DNS поддерживают динамические обновления и могут инициировать процесс динамического обновления. DNS-клиент согласовывает процесс динамического обновления с DHCP-сервером при аренде IP-адреса или возобновлении аренды. Это согласование определяет, какой компьютер обновляет записи ресурсов A и PTR клиента. DNS-клиент и DHCP-сервер договариваются о том, кто будет обновлять записи. Клиент и сервер отправляют запросы динамического обновления на первичные DNS-серверы, которые являются доверенными для обновления имен.

Служба DHCP-сервера Windows Server может обновлять записи DNS для клиентов, которые не поддерживают параметр "полное доменное имя" службы DHCP-клиента. Эта функция может быть включена на вкладке DNS свойств сервера консоли DHCP. DHCP-сервер сначала получает имя устаревших клиентов из пакета DHCP REQUEST. Затем он добавляет доменное имя, заданное для этой области, и регистрирует записи ресурсов A и PTR.

В некоторых случаях устаревшие записи PTR или A могут отображаться на DNS-серверах при истечении срока аренды DHCP-клиента. Например, когда DNS-клиент пытается согласовать процедуру динамического обновления с DHCP-сервером, DNS-клиент должен зарегистрировать как записи ресурсов A, так и PTR. Позже, если клиент неправильно удален из сети, клиент не может отменить регистрацию записей ресурсов A и PTR, и они становятся устаревшими.

Если устаревшая запись ресурса A отображается в зоне, которая разрешает только безопасные динамические обновления, ни один компьютер не может зарегистрировать любую другую запись ресурса для имени в этой записи ресурса A. Чтобы предотвратить проблемы с устаревшими записями ресурсов PTR и A, можно включить функцию старения и очистки. Дополнительные сведения о функции старения и очистки DNS см. в статье .

Чтобы обеспечить отказоустойчивость динамических обновлений, рассмотрите возможность интеграции Active Directory для тех зон, которые принимают динамические обновления от клиентов Windows. Чтобы ускорить обнаружение доверенных DNS-серверов, можно настроить каждый клиент со списком предпочтительных и альтернативных DNS-серверов, которые являются основными для этой зоны, интегрированной с каталогом. Если клиент не сможет обновить зону с предпочитаемым DNS-сервером, так как DNS-сервер недоступен, клиент может попробовать альтернативный сервер. Когда предпочтительный DNS-сервер становится доступным, он загружает обновленную интегрированную с каталогом зону, которая включает обновление от клиента.

Процесс динамического обновления

В этом разделе описан процесс динамического обновления для DHCP-клиентов, статически настроенных клиентов, клиентов удаленного доступа и многодомных клиентов.

Процесс DHCP-клиента

Чтобы инициировать процесс динамического обновления, DHCP-клиент отправляет полное доменное имя на DHCP-сервер в пакете DHCPREQUEST с помощью параметра полного доменного имени службы DHCP-клиента. Затем DHCP-сервер отвечает на DHCP-клиент, отправив сообщение подтверждения DHCP (DHCPACK) с параметром FQDN (код параметра 81).

В следующей таблице перечислены поля опции FQDN (полное доменное имя) пакета DHCPREQUEST.

Поле Объяснение
Код Задает код для этого параметра (81).
Лен Задает длину в октетах этого параметра (минимум 4).
Флаги Может иметь одно из следующих значений:

0. Клиент хочет зарегистрировать запись ресурса A и запрашивает, что сервер обновляет запись ресурса PTR.

1. Клиент хочет, чтобы сервер зарегистрировал записи ресурсов A и PTR.

3. DHCP-сервер регистрирует записи ресурсов A и PTR независимо от запроса клиента.
RCODE1 и RCODE2. DHCP-сервер использует эти поля, чтобы указать код ответа из записей ресурсов A и PTR, выполненных от имени клиента, и указать, пытался ли он обновить их перед отправкой DHCPACK.
Имя домена Указывает полное доменное имя клиента.

Условия, при которых DHCP-клиенты отправляют полное доменное имя, зависят от операционной системы, на которой работает клиент, и того, как клиент настроен. Действия, выполняемые DHCP-серверами, также зависят от операционной системы, запущенной сервером и способом настройки сервера.

По умолчанию служба dhcp-клиента Windows использует следующий процесс.

  1. Служба клиента Windows DHCP отправляет опцию FQDN с полем флагов, равным 0. Этот флаг запрашивает, что клиент обновляет запись ресурса A, а служба DHCP-сервера обновляет запись ресурса PTR.

  2. Клиент ожидает ответа от DHCP-сервера. Если DHCP-сервер не устанавливает для поля Flags значение 3, DNS-клиент инициирует обновление записи ресурса A.

  3. Если DHCP-сервер не поддерживает или не настроен для регистрации записи DNS, полное доменное имя (FQDN) не включается в ответ. В этом случае DNS-клиент пытается зарегистрировать записи ресурсов A и PTR.

В зависимости от того, что запрашивает DHCP-клиент, DHCP-сервер может выполнять различные действия.

Если DHCP-клиент отправляет сообщение DHCPREQUEST без параметра полного доменного имени, поведение зависит от типа DHCP-сервера и его конфигурации. DHCP-сервер обновляет обе записи, если его настроить на обновление записей за DHCP-клиентов, которые не поддерживают параметр полного доменного имени.

В следующих случаях DHCP-сервер не выполняет никаких действий:

  • DHCP-сервер не поддерживает динамическое обновление.

  • DHCP-сервер настроен не выполнять динамические обновления для клиентов, которые не поддерживают опцию полного доменного имени (FQDN).

  • DHCP-сервер настроен не для регистрации записей ресурсов DNS.

Если dhcp-клиент Windows запрашивает, что сервер обновляет запись ресурса PTR, но не запись ресурса A, поведение зависит от типа DHCP-сервера и его конфигурации.

Сервер может выполнить любое из следующих действий:

  • Если DHCP-сервер Windows настроен не для выполнения динамических обновлений, он не включает параметр полного доменного имени в ответ. Он также не обновляет ни одну из записей ресурса. В этом случае DNS-клиент пытается обновить записи ресурсов A и PTR, если он может.

  • Если DHCP-сервер Windows настроен для обновления в соответствии с запросом DHCP-клиента, сервер пытается обновить запись ресурса PTR. DHCP-сервер отправляет DHCPACK сообщение клиенту DHCP. Это сообщение содержит параметр FQDN с полем флагов, равным 0. Сообщение DHCPACK подтверждает, что DHCP-сервер обновляет запись PTR. Затем DNS-клиент пытается обновить запись ресурса A, если она может.

  • Если DHCP-сервер настроен для постоянного обновления записей A и PTR, DHCP-сервер пытается обновить обе записи ресурсов. Сообщение DHCP-сервера DHCPACK к DHCP-клиенту содержит параметр FQDN с полем флагов, установленным на 3, уведомляя DHCP-клиента о том, что DHCP-сервер обновляет записи A и PTR. В этом случае DNS-клиент не пытается обновить запись ресурса.

Статически настроенный и удаленный доступ клиентов

Статически настроенные клиенты и клиенты удаленного доступа не используют DHCP-сервер для регистрации DNS. Статически настроенные клиенты динамически обновляют записи ресурсов A и PTR при каждом запуске. Клиенты также обновляются каждые 24 часа для обновления записей в базе данных DNS.

Клиенты удаленного доступа могут динамически обновлять ресурсные записи A и PTR при установлении коммутируемого подключения. Они также могут попытаться удалить или отменить регистрацию, записи ресурсов A и PTR, когда пользователь закрывает подключение явным образом. Компьютеры под управлением Windows Server с сетевым подключением удаленного доступа пытаются динамически зарегистрировать записи A и PTR для IP-адреса этого подключения. По умолчанию служба DNS-клиента в клиенте Windows не пытается выполнить динамическое обновление через удаленный доступ или VPN-подключение. Чтобы изменить эту конфигурацию, можно изменить расширенные параметры TCP/IP конкретного сетевого подключения или изменить реестр.

Во всех операционных системах, если клиент удаленного доступа не получает успешный ответ на попытку отменить регистрацию записи ресурса DNS или по любой другой причине не удается отменить регистрацию записи ресурса в течение четырех секунд, DNS-клиент закрывает соединение. В таких случаях база данных DNS может содержать устаревшие записи.

Если клиент удаленного доступа не может отменить регистрацию записи ресурсов DNS, он добавляет сообщение в журнал событий, которое можно просмотреть с помощью средства просмотра событий. Клиент удаленного доступа никогда не удаляет устаревшие записи, но сервер удаленного доступа пытается отменить регистрацию записи ресурсов PTR при отключении клиента.

По умолчанию служба клиента Windows DNS не пытается автоматически обновлять записи A и PTR для коммутируемых соединений.

Многодомный клиентский процесс

Если клиент динамического обновления имеет несколько доменов, что означает наличие нескольких сетевых подключений и связанных IP-адресов, он регистрирует все IP-адреса для каждого сетевого подключения. Если вы не хотите зарегистрировать эти IP-адреса, можно настроить сетевое подключение, чтобы не регистрировать IP-адреса.

Клиент динамического обновления не регистрирует все IP-адреса на DNS-серверах во всех пространствах имен, к которым подключен компьютер. Например, многодомный компьютер, client1.example.contoso.com, подключен как к Интернету, так и к корпоративной интрасети. Клиент подключается к интрасети адаптером A, адаптером DHCP с IP-адресом 172.16.8.7. Клиент также подключен к Интернету через адаптер B, адаптер удаленного доступа с IP-адресом 10.3.3.9. Клиент разрешает имена интрасети с помощью сервера имен в интрасети и разрешает имена Интернета с помощью сервера имен в Интернете.

Безопасное динамическое обновление

Безопасность обновления DNS доступна только для зон, интегрированных в Active Directory. При интеграции зоны в Active Directory списки управления доступом (ACL) доступны в консоли DNS для добавления или удаления пользователей и групп из ACL для указанной зоны или записи ресурсов. ACL используются только для контроля доступа к администрированию DNS и не влияют на разрешение DNS-запросов.

По умолчанию безопасность динамического обновления для DNS-серверов и клиентов обрабатывается следующим образом:

  • DNS-клиенты сначала пытаются использовать незащищенное динамическое обновление. В случае отказа от незащищенного обновления клиенты пытаются использовать безопасное обновление.

    Политика обновления по умолчанию позволяет клиентам пытаться перезаписать ранее зарегистрированную запись ресурса, если она не заблокирована.

  • После того как зона становится интегрированной с Active Directory, DNS-серверы под управлением Windows Server по умолчанию разрешают только безопасные динамические обновления.

    При использовании хранилища зоны на основе файлов по умолчанию служба DNS-сервера не разрешает динамических обновлений в своих зонах. Для зон, интегрированных с каталогом или использующих стандартное хранилище на основе файлов, можно изменить зону, чтобы разрешить все динамические обновления. Этот параметр позволяет принимать все обновления.

Динамическое обновление — это дополнение к стандартной спецификации DNS, определенной в RFC 2136.

Динамическая регистрация записей ресурсов DNS может быть ограничена с помощью записей реестра.

Как работает безопасное динамическое обновление

Процесс безопасного динамического обновления описывается следующим образом:

  1. Чтобы инициировать безопасное динамическое обновление, DNS-клиент сначала инициирует процесс согласования контекста безопасности, во время которого маркеры передаются между клиентом и сервером с помощью записей ресурсов TKEY. В конце процесса переговоров устанавливается контекст безопасности.

  2. DNS-клиент отправляет запрос динамического обновления DNS-серверу. Этот запрос содержит записи ресурсов для добавления, удаления или изменения данных.

    1. Запрос подписан с помощью ранее установленного контекста безопасности.

    2. Подпись передается в записи ресурсов TSIG, которая входит в пакет динамического обновления.

  3. Сервер пытается обновить Active Directory с помощью учетных данных клиента и отправляет результат обновления клиенту. Эти результаты также подписаны с помощью контекста безопасности и подписи, переданной в записи ресурсов TSIG, включенной в ответ.

Безопасный процесс динамического обновления

Процесс безопасного динамического обновления описывается следующим образом:

  1. DNS-клиент запрашивает предпочтительный DNS-сервер, чтобы определить, какой DNS-сервер является доверенным для имени домена, которое он пытается обновить. Предпочтительный DNS-сервер отвечает именем зоны и основным DNS-сервером, который является авторитетным для зоны.

  2. DNS-клиент пытается выполнить стандартное динамическое обновление, и если зона настроена для разрешения только безопасных динамических обновлений (конфигурация по умолчанию для зон, интегрированных с Active Directory), DNS-сервер отказывается от небезопасного обновления. Если зона настроена для стандартного динамического обновления, а не для безопасного динамического обновления, DNS-сервер принимает попытку DNS-клиента добавлять, удалять или изменять записи ресурсов в этой зоне.

  3. DNS-клиент и DNS-сервер начинают согласование TKEY.

    1. DNS-клиент и DNS-сервер согласовывают базовый механизм безопасности. Клиенты динамического обновления Windows и DNS-серверы могут использовать только протокол Kerberos.

    2. Используя механизм безопасности, DNS-сервер и DNS-клиент проверяют свои идентичности и устанавливают контекст безопасности.

  4. DNS-клиент отправляет запрос динамического обновления на DNS-сервер, подписанный с помощью установленного контекста безопасности. Подпись включается в поле сигнатуры записи ресурсов TSIG, включенной в пакет динамического запроса обновления. DNS-сервер проверяет источник пакета динамического обновления с помощью контекста безопасности и подписи TSIG.

  5. DNS-сервер пытается добавить, удалить или изменить записи ресурсов в Active Directory. Обновление зависит от того, имеет ли DNS-клиент необходимые разрешения и соответствует ли предварительные требования.

  6. DNS-сервер отправляет ответ DNS-клиенту, указывая, удалось ли выполнить обновление, подписанное с помощью установленного контекста безопасности. Подпись включается в поле подписи записи ресурса TSIG, которое включено в пакет ответа на динамическое обновление. Если DNS-клиент получает поддельный ответ, он игнорирует его и ожидает получения подписанного ответа.

Безопасность для DHCP-клиентов, которые не поддерживают опцию FQDN

Клиенты WINDOWS DHCP, которые не поддерживают параметр полного доменного имени (вариант 81), не поддерживают динамические обновления. Если вы хотите, чтобы записи ресурсов A и PTR для этих клиентов динамически регистрировались в DNS, необходимо настроить DHCP-сервер для выполнения динамических обновлений от их имени.

Настройка, при которой DHCP-сервер выполняет безопасные динамические обновления от имени DHCP-клиентов, не поддерживающих параметр FQDN, требует дополнительных конфигураций, чтобы избежать проблемы с разрешениями. Когда DHCP-сервер выполняет безопасное динамическое обновление имени, он становится владельцем этого имени. Только этот DHCP-сервер может обновить любую запись для этого имени.

Например, предположим, что DHCP-сервер DHCP1 создал объект для имени host1.example.com, а затем перестал отвечать, а затем резервный DHCP-сервер, DHCP2, попытался обновить запись для того же имени, host1.example.com. В этой ситуации DHCP2 не может обновить имя, так как оно не владеет именем.

Чтобы избежать этой проблемы, используйте встроенную группу безопасности с именем DnsUpdateProxy. Если добавить все DHCP-серверы как члены группы DnsUpdateProxy, другой сервер может обновить записи одного сервера, если первый сервер выйдет из строя. Кроме того, поскольку все объекты, созданные членами группы DnsUpdateProxy, не защищены, первый пользователь для изменения набора записей, связанных с DNS-именем, становится его владельцем. При обновлении устаревших клиентов они могут иметь права владения записями имен на DNS-сервере. Если каждый DHCP-сервер, регистрирующий записи ресурсов для старых клиентов, входит в группу DnsUpdateProxy, проблемы, рассмотренные ранее, не возникают.

Защита записей с помощью группы DnsUpdateProxy

Если DHCP-сервер является членом группы DnsUpdateProxy, он не защищает доменные имена DNS, которые он регистрирует. В результате не используйте эту группу в интегрированной зоне Active Directory, которая позволяет защищать только динамические обновления, не выполняя дополнительных действий, чтобы разрешить записи, созданные членами группы, быть защищенными.

Чтобы защитить от незащищенных записей или разрешить членам группы DnsUpdateProxy регистрировать записи в зонах, разрешающих только защищенные динамические обновления, создайте выделенную учетную запись пользователя. Используя учетные данные этой учетной записи пользователя, настройте DHCP-серверы для выполнения динамических обновлений DNS. Несколько DHCP-серверов могут использовать учетные данные одной выделенной учетной записи пользователя.

Выделенная учетная запись пользователя — это стандартная учетная запись пользователя, используемая только для предоставления DHCP-серверов учетными данными для регистрации динамического обновления DNS. Каждый DHCP-сервер предоставляет эти учетные данные при регистрации имен от имени DHCP-клиентов с помощью динамического обновления DNS. Выделенная учетная запись пользователя создается в том же лесу, где находится основной DNS-сервер для зоны, которую нужно обновить. Выделенная учетная запись пользователя также может находиться в другом лесу, если лес, в котором он находится, имеет доверенную связь лесов, установленную с лесом, содержащим основной DNS-сервер, предназначенный для обновления зоны.

При установке на контроллере домена служба DHCP-сервера наследует разрешения безопасности контроллера домена. Это означает, что у него есть полномочия обновлять или удалять любую запись DNS, зарегистрированную в защищенной зоне, интегрированной с Active Directory. Другие компьютеры под управлением Windows Server, такие как контроллеры домена, безопасно регистрируют эти записи. При установке на контроллере домена настройте DHCP-сервер с учетными данными выделенной учетной записи пользователя, чтобы избежать наследования сервером и, возможно, неправильного использования привилегий контроллера домена.

Настройте выделенную учетную запись пользователя и настройте службу DHCP-сервера с учетными данными учетной записи в следующих обстоятельствах:

  • Контроллер домена настроен для работы в качестве DHCP-сервера.
  • DHCP-сервер настроен для выполнения динамических обновлений DNS от имени DHCP-клиентов.
  • DHCP-сервер обновляет зоны DNS, настроенные для разрешения только безопасных динамических обновлений.

После создания выделенной учетной записи пользователя можно настроить DHCP-серверы с учетными данными учетной записи пользователя с помощью консоли DHCP или с помощью команды netsh dhcp server set dnscredentials.

Примечание.

  • Если предоставленные учетные данные принадлежат объекту, являющегося членом группы безопасности DnsUpdateProxy, следующий объект для регистрации записи того же имени в DNS станет владельцем записи.

  • Если вы указываете учетные данные для DHCP-сервера, используемого при регистрации клиентских компьютеров DHCP в DNS, эти учетные данные не резервируются. После восстановления базы данных DHCP необходимо настроить новые учетные данные.