Dinamik güncelleştirme

Dinamik güncelleştirme, DNS istemci bilgisayarlarının her değişiklik olduğunda kaynak kayıtlarını bir DNS sunucusuna kaydetmesine ve güncelleştirmesine olanak tanır. Bu özellik, özellikle sık sık konumları taşıyabilen veya değiştiren ve IP adresi almak için DHCP kullanan istemciler için bölge kayıtlarının el ile yönetilmesi gereksinimini azaltır.

DNS İstemcisi ve Sunucu hizmetleri, RFC 2136'da açıklandığı gibi dinamik güncelleştirmeyi destekler. DNS Sunucusu hizmeti, bölge başına dinamik güncelleştirmeleri etkinleştirebilir veya devre dışı bırakabilir. Varsayılan olarak, Windows Server DNS İstemcisi hizmeti TCP/IP için yapılandırıldığında DNS'deki ana bilgisayar (A) kaynak kayıtlarını dinamik olarak güncelleştirir. DNS Sunucusu hizmeti, varsayılan olarak yalnızca güvenli dinamik güncelleştirmelere izin verecek şekilde yapılandırılmıştır.

Protokole genel bakış

RFC 2136, önkoşul koşullarını denetlerken belirtilen bölgede kaynak kayıtlarının eklenmesine ve silinmesine olanak tanıyan ileti biçimini tanıtır UPDATE . Güncelleştirme atomiktir, yani güncelleştirmenin gerçekleşmesi için tüm koşulların karşılanması gerekir.

Bölge güncelleştirmesi, o bölge için birincil DNS sunucusunda işlenmelidir. İkincil DNS sunucusu, birincil DNS sunucusuna ulaşana kadar çoğaltma topolojisini kullanarak bir güncelleştirmeyi iletir. Active Directory ile tümleşik bir bölge kullandığınızda, bir bölgedeki kaynak kaydına yönelik bir güncelleştirme, veri deposu bölgeyi içeren bir Active Directory etki alanı denetleyicisinde çalışan herhangi bir DNS sunucusuna gönderilebilir.

Bir bölge aktarım işlemi başladığında, bölgeyi kilitler. Bu kilit, ikincil bir DNS sunucusunun verileri aktarırken bölgenin tutarlı bir görünümünü almasını sağlar. Bu süre boyunca bölge dinamik güncelleştirmeleri kabul edemiyor. Bölge büyükse ve aktarımlar için sık sık kilitleniyorsa, dinamik güncelleştirme istemcilerini aç bırakabilir ve sistem kararlılığının bozulmasına neden olabilir. Bu sorunu önlemek için, Windows Server DNS Sunucusu hizmeti bölge aktarımı sırasında gelen istekleri güncelleştirir ve aktarım tamamlandıktan sonra bunları işler.

Bilgisayarlar DNS adlarını nasıl güncelleştirir?

Varsayılan olarak, TCP/IP için statik olarak yapılandırılmış bilgisayarlar, yüklü ağ bağlantıları tarafından yapılandırılan ve kullanılan IP adresleri için ana bilgisayar (A) ve işaretçi (PTR) kaynak kayıtlarını dinamik olarak kaydetmeye çalışır. Tüm bilgisayarlar, FQDN'lerine göre kayıtları kaydeder.

DNS istemcileri aşağıdaki öğelerin dinamik güncelleştirmesini denemez:

  • Uzaktan erişim veya sanal özel ağ (VPN) bağlantısı üzerinden. Bu yapılandırmayı değiştirmek için, belirli bir ağ bağlantısının gelişmiş TCP/IP ayarlarını değiştirebilir veya kayıt defterini değiştirebilirsiniz.

  • Üst düzey etki alanı (TLD) bölgeleri. Tek etiketli bir adla adlandırılan herhangi bir bölge, comedublank, my-companygibi bir TLD bölgesi olarak kabul edilir.

Ayrıca varsayılan olarak, bir bilgisayarın FQDN'sinin birincil DNS soneki bölümü, bilgisayarın katıldığı Active Directory etki alanının adıyla aynıdır. Farklı birincil DNS son eklerine izin vermek için, etki alanı yöneticisi etki alanı nesnesi kapsayıcısında msDS-AllowedDNSSuffixes özniteliğini değiştirerek izin verilen soneklerin kısıtlı bir listesini oluşturabilir. Etki alanı yöneticisi, Active Directory Hizmet Arabirimleri (ADSI) veya Basit Dizin Erişim Protokolü (LDAP) kullanarak özniteliği yönetebilir. Dinamik güncelleştirmeler aşağıdaki nedenlerden veya olaylardan herhangi biri için gönderilebilir:

  • Yüklü ağ bağlantılarından herhangi birinin TCP/IP özellikleri yapılandırmasında bir IP adresi eklenir, kaldırılır veya değiştirilir.
  • Başlangıç zamanında, bilgisayar açık olduğunda.
  • Üye sunucu bir etki alanı denetleyicisine yükseltilir.
  • Bir IP adresi kiralaması, DHCP sunucusuyla, bilgisayar başlatıldığında veya ipconfig /renew komutu kullanıldığında, yüklü ağ bağlantılarından herhangi biri için değişir veya yenilenir.
  • komutu, DNS'de ipconfig /registerdns istemci adı kaydının el ile yenilenmesini zorlamak için kullanılır.

Important

kullanıyorsanız ipconfig /registerdns, DNS istemci hizmeti DHCP sunucusunu atlayarak DNS kaydını doğrudan kaydetmeyi dener. BU kayıt, DHCP sunucusu DNS A ve PTR kayıtlarını her zaman dinamik olarak güncelleştirecek şekilde yapılandırılmış olsa bile gerçekleşir. İstemcinin kaynak kaydını güncelleştirme izni yoksa kayıt sessizce başarısız olur. DNS istemcisi bu izne sahipse kaynak kaydı güncelleştirilir. dhcp sunucusu artık kaynak kaydında gelecekteki güncelleştirmeleri gerçekleştiremeyecek şekilde izinler sıfırlanabilir.
Windows çalıştıran DHCP istemcileri için DNS kaydını güncelleştirmek için önerilen yöntem kullanmaktır ipconfig /renew. kullanmayın ipconfig /registerdns.

Önceki olaylardan biri dinamik bir güncelleştirmeyi tetiklediğinde, DNS İstemcisi hizmeti güncelleştirmeleri gönderir. Bu tetikleyici, IP adresi bilgilerinde bir değişiklik olursa, bilgisayarın addan adrese eşlemelerini eşitlemek için DNS'de karşılık gelen güncelleştirmeler gerçekleştirilecek şekilde tasarlanmıştır. DNS İstemcisi hizmeti, DHCP kullanmak üzere yapılandırılmamış bağlantılar da dahil olmak üzere sistemde kullanılan tüm ağ bağlantıları için bu işlevi gerçekleştirir.

Bu güncelleştirme işlemi, Windows Server çalıştıran sunucular için yükleme varsayılanlarının geçerli olduğunu varsayar. Gelişmiş TCP/IP özelliklerinin varsayılan olmayan DNS ayarlarını kullanacak şekilde yapılandırıldığı durumlarda belirli adlar ve güncelleştirme davranışı ayarlanabilir.

Bilgisayarın tam bilgisayar adına (veya birincil adına) ek olarak, bağlantıya özgü DNS adları yapılandırılabilir ve isteğe bağlı olarak DNS'de kaydedilebilir veya güncelleştirilebilir.

Dinamik güncelleştirme nasıl çalışır?

Dinamik güncelleştirmeler genellikle bilgisayarda bir DNS adı veya IP adresi değiştiğinde istenir. Örneğin, adlı oldhost bir istemcinin önce aşağıdaki adlarla yapılandırıldığını varsayalım:

  • Bilgisayar adı: oldhost
  • DNS etki alanı adı: example.contoso.com
  • Tam bilgisayar adı: oldhost.example.contoso.com

Bu örnekte, bilgisayar için bağlantıya özgü DNS etki alanı adları yapılandırılmamış. Daha sonra, bilgisayarın adı oldhost'den newhost'e olarak değiştirilerek sistemde aşağıdaki ad değişiklikleri meydana gelir:

  • Bilgisayar adı: newhost
  • DNS etki alanı adı: example.contoso.com
  • Tam bilgisayar adı: newhost.example.contoso.com

Sistem özelliklerinde ad değişikliği uygulandıktan sonra bilgisayarı yeniden başlatmanız istenir. Bilgisayar Windows'ı yeniden başlattığınızda, DNS İstemcisi hizmeti DNS'yi güncelleştirmek için aşağıdaki sırayı gerçekleştirir:

  1. DNS İstemcisi hizmeti, bilgisayarın DNS etki alanı adını kullanarak bir SOA türü sorgusu gönderir.

    İstemci bilgisayar, bu sorguda belirtilen ad olarak bilgisayarın şu anda yapılandırılmış olan FQDN'sini (örneğin newhost.example.contoso.com) kullanır.

  2. İstemci FQDN'sini içeren bölge için yetkili DNS sunucusu SOA türündeki sorguya yanıt verir.

    Standart birincil bölgeler için, SOA sorgu yanıtında döndürülen birincil sunucu (sahip) sabit ve statiktir. Bölgeyle birlikte depolanan SOA kaynak kaydında göründüğü gibi her zaman tam DNS adıyla eşleşir. Güncelleştirilen bölge dizinle tümleşikse, FQDN'deki Active Directory etki alanı için bir etki alanı denetleyicisinde çalışan tüm DNS sunucuları yanıt verebilir. Kendi adını, SOA sorgu yanıtında bölgenin birincil sunucusu (sahibi) olarak dinamik olarak ekleyebilir.

  3. ARDıNDAN DNS İstemcisi hizmeti birincil DNS sunucusuyla iletişim kurmaya çalışır.

    İstemci, adını kabul etmek için birincil sunucu olarak yetkilendirilmiş DNS sunucusunun IP adresini belirlemek üzere adı için SOA sorgu yanıtını işler. Ardından, birincil sunucusuyla iletişim kurmak ve dinamik olarak güncelleştirmek için aşağıdaki adım dizisini gerçekleştirmeye devam eder:

    • SOA sorgu yanıtında belirlenen birincil sunucuya dinamik bir güncelleştirme isteği gönderir.
    • Güncelleştirme başarılı olursa başka bir işlem yapılmaz.
    • Bu güncelleştirme başarısız olursa istemci, SOA kaydında belirtilen bölge adı için bir NS türü sorgu gönderir.
    • Bu sorguya bir yanıt aldığında, yanıtta listelenen ilk DNS sunucusuna bir SOA sorgusu gönderir.

    SOA sorgusu çözümlendikten sonra istemci, döndürülen SOA kaydında belirtilen sunucuya dinamik bir güncelleştirme gönderir.

    • Güncelleştirme başarılı olursa başka bir işlem yapılmaz.
    • Bu güncelleştirme başarısız olursa istemci, yanıtta listelenen sonraki DNS sunucusuna istek göndererek SOA sorgu işlemini yineler.

  4. Güncelleştirmeyi gerçekleştirebilen birincil DNS sunucusuyla bağlantı kurulduktan sonra, istemci güncelleştirme isteğini gönderir ve DNS sunucusu bunu işler.

    Güncelleştirme isteğinin içeriği, newhost.example.contoso.com için A (ve muhtemelen PTR) kaynak kayıtları ekleme ve daha önce kaydedilmiş olan ad olan oldhost.example.contoso.com için aynı kayıt türlerini kaldırma yönergelerini içerir.

    DNS sunucusu ayrıca istemci isteği için güncelleştirmelere izin verildiğinden emin olmak için denetler. Standart birincil bölgeler için dinamik güncelleştirmeler güvenli değildir, bu nedenle tüm istemci güncelleştirme girişimleri başarılı olur. Active Directory ile tümleşik bölgeler için güncelleştirmeler güvenli hale getirilir ve dizin tabanlı güvenlik ayarları kullanılarak gerçekleştirilir. Daha fazla bilgi için bu makalenin devamında yer alan Güvenli dinamik güncelleştirme bölümüne bakın.

Dinamik güncelleştirmeler düzenli aralıklarla gönderilir veya yenilenir. Varsayılan olarak, bilgisayarlar yedi günde bir yenileme gönderir. Güncelleştirme bölge verilerinde hiçbir değişiklikle sonuçlanırsa, bölge geçerli sürümünde kalır ve hiçbir değişiklik yazılır. Güncelleştirmeler yalnızca adlar veya adresler değiştiğinde bölge değişikliklerine veya bölge aktarımlarının artmasına neden olur.

Adlar etkin olmadığında veya yenileme aralığı (yedi gün) içinde güncelleştirilmezse DNS bölgelerinden kaldırılmaz. DNS'nin adları serbest bırakmak veya kaldıracak bir mekanizması yoktur. Ancak, DNS istemcileri yeni bir ad uygulandığında eski ad kayıtlarını silmeye çalışır. DNS istemcileri ayrıca bir adres değişikliği gerçekleştiğinde ad kayıtlarını güncelleştirmeye çalışır.

DNS İstemcisi hizmeti, bir bilgisayar için A ve PTR kaynak kayıtlarını kaydederken, konak kayıtları için önbelleğe alma amacıyla varsayılan olarak 15 dakikalık bir Yaşam Süresi (TTL) kullanır. Bu TTL, diğer DNS sunucularının ve istemcilerinin sorgu yanıtına dahil edildiğinde bilgisayarın kayıtlarını ne kadar süreyle önbelleğe aldıklarını belirler.

Yaşam Süresi

Dinamik güncelleme istemcisi DNS'ye her kaydedilişinde, ilgili A ve PTR kaynak kayıtları Yaşam Süresi'ni (TTL) içerir. Varsayılan olarak, Netlogon hizmeti tarafından kaydedilen kayıtlar için TTL 10 dakika olarak ayarlanır. DHCP İstemcisi hizmeti tarafından kaydedilen kayıtlar için TTL 15 dakika olarak ayarlanır. DNS Sunucusu hizmeti kayıtları kendi bölgeleri için dinamik olarak kaydederse, varsayılan TTL 20 dakikadır. Kayıt defterinde varsayılan ayarı değiştirebilirsiniz. Küçük bir değer, önbelleğe alınan girişlerin süresinin daha erken dolmasına neden olur ve bu da DNS trafiğini artırır ancak önbelleğe alınan kayıtların güncelliğini yitirmiş olma riskini azaltır. Girdi süresinin hızla dolması, DHCP kiralarını sık sık yenileyen bilgisayarlar için kullanışlıdır. Uzun saklama süreleri, DHCP kiralarını seyrek yenileyen bilgisayarlar için kullanışlıdır.

Ad çakışmalarını çözme

DNS İstemcisi hizmeti bir A kaydı kaydetmeye çalıştığında, yetkili DNS bölgesinin aynı ada sahip ancak farklı bir IP adresine sahip bir A kaydı olup olmadığını denetler. Varsayılan olarak, DNS İstemcisi hizmeti mevcut A kaydını (veya kayıtlarını) DNS istemcisinin IP adresini içeren yeni A kaydıyla değiştirmeyi dener. Sonuç olarak, güvenli dinamik güncelleştirme kullanılmadığı sürece ağdaki tüm bilgisayarlar mevcut A kaydını değiştirebilir. Güvenli dinamik güncelleştirme için yapılandırılan bölgeler, yalnızca yetkili kullanıcıların kaynak kaydını değiştirmesine izin verir.

Varsayılan ayarı değiştirerek DNS İstemcisi hizmetinin kayıt işlemini sona erdirmesi ve hatayı mevcut A kaydını değiştirmek yerine Olay Görüntüleyicisi'nde günlüğe kaydetmesini sağlayabilirsiniz. Daha fazla bilgi için bu makalenin devamında yer alan Güvenli dinamik güncelleştirme bölümüne bakın.

DNS ve DHCP

Windows DNS istemcileri dinamik güncelleştirmeye duyarlıdır ve dinamik güncelleştirme işlemini başlatabilir. BIR DNS istemcisi, istemci bir IP adresi kiraladığında veya kiralamayı yenilediğinde DHCP sunucusuyla dinamik güncelleştirme işlemini belirler. Bu anlaşma, istemcinin A ve PTR kaynak kayıtlarını hangi bilgisayarın güncelleştirdiğini belirler. DNS istemcisi ve DHCP sunucusu, kayıtları kimin güncelleştirdiğinde anlaşma sağlar. İstemci ve sunucu, adların güncelleştirilecek olması için yetkili olan birincil DNS sunucularına dinamik güncelleştirme istekleri gönderir.

Windows Server DHCP Sunucusu hizmeti, DHCP İstemci hizmeti FQDN seçeneğini desteklemeyen istemciler için DNS kayıtlarını güncelleştirebilir. Bu işlev, DHCP konsolu için sunucu özelliklerinin DNS sekmesinde etkinleştirilebilir. DHCP sunucusu ilk olarak paketten eski istemcilerin DHCP REQUEST adını alır. Ardından bu kapsam için verilen etki alanı adını ekler ve A ve PTR kaynak kayıtlarını kaydeder.

Bazı durumlarda, DHCP istemcisinin kira süresi dolduğunda DNS sunucularında eski PTR veya Kaynak kayıtları görüntülenebilir. Örneğin, bir DNS istemcisi DHCP sunucusuyla dinamik güncelleştirme yordamını anlaşmaya çalıştığında, DNS istemcisinin hem A hem de PTR kaynak kayıtlarını kaydetmesi gerekir. Daha sonra, istemci ağdan hatalı bir şekilde kaldırılırsa, istemci A ve PTR kaynak kayıtlarının kaydını kaldıramaz ve eski hale gelir.

Yalnızca güvenli dinamik güncelleştirmelere izin veren bir bölgede eski bir A kaynak kaydı görünürse, hiçbir bilgisayar bu A kaynak kaydındaki ad için başka bir kaynak kaydı kaydedemez. PTR ve A kaynak kayıtlarının eskimesine ve sorunlara karşı, eskime ve temizleme özelliğini etkinleştirebilirsiniz. Eskime ve atma özellikleri hakkında daha fazla bilgi için bakınız DNS eskime ve atma.

Dinamik güncelleştirmelerde hataya dayanıklılık sağlamak için, Windows istemcilerinden dinamik güncelleştirmeleri kabul eden bölgeler için Active Directory tümleştirmesini göz önünde bulundurun. Yetkili DNS sunucularının bulunmasını hızlandırmak için, her istemciyi, dizinle tümleşik bölge için birincil olan tercih edilen ve alternatif DNS sunucularının bir listesiyle yapılandırabilirsiniz. DNS sunucusu kullanılamadığından istemci bölgeyi tercih ettiği DNS sunucusuyla güncelleştiremezse, istemci alternatif bir sunucu deneyebilir. Tercih edilen DNS sunucusu kullanılabilir olduğunda, istemciden gelen güncelleştirmeyi içeren güncelleştirilmiş, dizinle tümleşik bölgeyi yükler.

Dinamik güncelleştirme işlemi

Bu bölümde DHCP istemcileri, statik olarak yapılandırılmış istemciler, uzaktan erişim istemcileri ve çok ana bilgisayarlı istemciler için dinamik güncelleştirme işlemini açıklayacağız.

DHCP istemci işlemi

Dinamik güncelleştirme işlemini başlatmak için DHCP istemcisi, DHCP İstemci hizmeti FQDN seçeneğini kullanarak FQDN'sini paketteki DHCPREQUEST DHCP sunucusuna gönderir. Ardından DHCP sunucusu, FQDN seçeneğini (seçenek kodu 81) içeren bir DHCP onay (DHCPACK) iletisi göndererek DHCP istemcisini yanıtlar.

Aşağıdaki tabloda paketin FQDN seçeneğinin DHCPREQUEST alanları listelanmıştır.

Field Explanation
Code Bu seçeneğin kodunu belirtir (81).
Len Bu seçeneğin uzunluğunu sekizli olarak belirtir (en az 4).
Flags Aşağıdaki değerlerden biri olabilir:

0. İstemci, A kaynak kaydını kaydetmek istiyor ve sunucunun PTR kaynak kaydını güncelleştirmesini istiyor.

1. İstemci, sunucunun A ve PTR kaynak kayıtlarını kaydetmesini istiyor.

3. DHCP sunucusu, istemcinin isteğine bakılmaksızın A ve PTR kaynak kayıtlarını kaydeder.
RCODE1 ve RCODE2 DHCP sunucusu, istemci adına gerçekleştirilen A ve PTR kaynak kayıt kayıtlarından gelen yanıt kodunu belirtmek ve göndermeden DHCPACKönce güncelleştirmeyi denediğini belirtmek için bu alanları kullanır.
Alan Adı İstemcinin FQDN'sini belirtir.

DHCP istemcilerinin FQDN seçeneğini gönderdiği koşullar, istemcinin çalıştığı işletim sistemine ve istemcinin nasıl yapılandırıldığına bağlıdır. DHCP sunucuları tarafından kullanılabilecek eylemler, sunucunun çalıştığı işletim sistemine ve sunucunun nasıl yapılandırıldığına da bağlıdır.

Varsayılan olarak, Windows DHCP İstemcisi hizmeti aşağıdaki işlemi kullanır.

  1. Windows DHCP İstemcisi hizmeti, Bayraklar alanı 0 olarak ayarlanmış FQDN seçeneğini gönderir. Bu bayrak, istemcinin A kaynak kaydını güncelleştirmesini ve DHCP Sunucusu hizmetinin PTR kaynak kaydını güncelleştirmesini istemektedir.

  2. İstemci, DHCP sunucusundan bir yanıt bekler. DHCP sunucusu Bayraklar alanını 3 olarak ayarlamadığı sürece, DNS istemcisi A kaynak kaydı için bir güncelleştirme başlatır.

  3. DHCP sunucusu DNS kaydının kaydını desteklemiyorsa veya yapılandırılmamışsa, yanıta bir FQDN dahil değildir. Bu durumda, DNS istemcisi A ve PTR kaynak kayıtlarını kaydetmeyi dener.

DHCP istemcisinin isteklerine bağlı olarak, DHCP sunucusu farklı eylemler gerçekleştirebilir.

DHCP istemcisi FQDN seçeneği olmadan bir DHCPREQUEST ileti gönderirse, davranış DHCP sunucusunun türüne ve yapılandırmasına bağlıdır. DHCP sunucusu, FQDN seçeneğini desteklemeyen DHCP istemcileri adına kayıtları güncelleştirecek şekilde yapılandırdığınızda her iki kaydı da güncelleştirir.

Aşağıdaki durumlarda, DHCP sunucusu herhangi bir eylem gerçekleştirmez:

  • DHCP sunucusu dinamik güncelleştirmeyi desteklemez.

  • DHCP sunucusu, FQDN seçeneğini desteklemeyen istemciler için dinamik güncelleştirmeler yapmayacak şekilde yapılandırılmıştır.

  • DHCP sunucusu, DNS kaynak kayıtlarını kaydedmeyecek şekilde yapılandırıldı.

Windows DHCP istemcisi sunucunun PTR kaynak kaydını güncelleştirmesini isterse ancak A kaynak kaydını güncelleştirmezse, davranış DHCP sunucusunun türüne ve yapılandırmasına bağlıdır.

Sunucu aşağıdaki eylemlerden herhangi birini gerçekleştirebilir:

  • Windows DHCP sunucusu dinamik güncelleştirmeler gerçekleştirmeyecek şekilde yapılandırılmışsa, yanıtında FQDN seçeneğini içermez. Ayrıca iki kaynak kaydını da güncelleştirmez. Bu durumda, DNS istemcisi uygunsa hem A hem de PTR kaynak kayıtlarını güncelleştirmeyi dener.

  • Windows DHCP sunucusu DHCP istemcisinin isteğine göre güncelleştirilecek şekilde yapılandırılmışsa, sunucu PTR kaynak kaydını güncelleştirmeyi dener. DHCP sunucusu, DHCP istemcisine bir DHCPACK ileti gönderir. Bu ileti, Bayraklar alanı olarak ayarlanmış 0FQDN seçeneğini içerir. İleti, DHCPACK DHCP sunucusunun PTR kaydını güncelleştirdiğini onaylar. ARDıNDAN DNS istemcisi, uygunsa A kaynak kaydını güncelleştirmeyi dener.

  • DHCP sunucusu her zaman A ve PTR her iki kaydı da güncelleştirecek şekilde yapılandırılmışsa, DHCP sunucusu her iki kaynak kaydını da güncelleştirmeye çalışır. DHCP istemcisine yönelik DHCP sunucusu DHCPACK iletisi, Bayraklar alanı olarak ayarlanmış 3FQDN seçeneğini içerir ve DHCP istemcisine DHCP sunucusunun A ve PTR kayıtlarını güncelleştirdiğini bildirir. Bu durumda, DNS istemcisi iki kaynak kaydını da güncelleştirmeye çalışmaz.

Statik olarak yapılandırılmış ve uzaktan erişim istemcileri işler.

Statik olarak yapılandırılmış istemciler ve uzaktan erişim istemcileri, DNS kaydı için DHCP sunucusuna güvenmez. Statik olarak yapılandırılmış istemciler her başlatıldığında A ve PTR kaynak kayıtlarını dinamik olarak güncelleştirir. İstemciler ayrıca DNS veritabanındaki kayıtları yenilemek için her 24 saatte bir güncellenir.

Uzaktan erişim istemcileri, çevirmeli bağlantı oluşturulduğunda A ve PTR kaynak kayıtlarını dinamik olarak güncelleştirebilir. Ayrıca kullanıcı bağlantıyı açıkça kapattığında A ve PTR kaynak kayıtlarını geri çekmeyi veya kaydını kaldırmayı da dener. Uzaktan erişim ağ bağlantısı olan Windows Server çalıştıran bilgisayarlar, bu bağlantının IP adresi için A ve PTR kayıtlarını dinamik olarak kaydetmeye çalışır. Varsayılan olarak, Windows istemcisinde DNS İstemcisi hizmeti uzaktan erişim veya VPN bağlantısı üzerinden dinamik güncelleştirme denemez. Bu yapılandırmayı değiştirmek için, belirli bir ağ bağlantısının gelişmiş TCP/IP ayarlarını değiştirebilir veya kayıt defterini değiştirebilirsiniz.

Tüm işletim sistemlerinde, bir uzaktan erişim istemcisi DNS kaynak kaydını silme girişiminden başarılı bir yanıt almazsa veya dört saniye içinde kaynak kaydını kaldırmaya yönelik başka bir nedenden dolayı başarısız olursa, DNS istemcisi bağlantıyı kapatır. Bu gibi durumlarda DNS veritabanı eski bir kayıt içerebilir.

Uzaktan erişim istemcisi bir DNS kaynak kaydının kaydını kaldıramazsa, olay günlüğüne Olay Görüntüleyicisi'ni kullanarak görüntüleyebileceğiniz bir ileti ekler. Uzaktan erişim istemcisi eski kayıtları hiçbir zaman silmez, ancak istemcinin bağlantısı kesildiğinde uzaktan erişim sunucusu PTR kaynak kaydını silmeye çalışır.

Varsayılan olarak, Windows DNS İstemcisi hizmeti çevirmeli bağlantılar için A ve PTR kayıtlarını otomatik olarak güncelleştirmeye çalışmaz.

Çoklu bağlı istemci işlemi

Bir dinamik güncelleştirme istemcisi birden çok ana ağa bağlıysa, yani istemcinin birden fazla ağ bağlantısı ve ilişkili IP adresi varsa, her ağ bağlantısı için tüm IP adreslerini kaydeder. Bu IP adreslerini kaydetmesini istemiyorsanız, ağ bağlantısını IP adreslerini kaydedmeyecek şekilde yapılandırabilirsiniz.

Dinamik güncelleştirme istemcisi tüm IP adreslerini bilgisayarın bağlı olduğu tüm ad alanlarına DNS sunucularına kaydetmez. Örneğin, çok ana bilgisayarlı bir bilgisayar, client1.example.contoso.comhem İnternet'e hem de şirket intranetine bağlıdır. İstemci, IP adresine 172.16.8.7sahip bir DHCP bağdaştırıcısı olan A bağdaştırıcısıyla intranete bağlanır. İstemci, IP adresine 10.3.3.9sahip bir uzaktan erişim bağdaştırıcısı olan B bağdaştırıcısıyla da İnternet'e bağlanır. İstemci, intranette bir ad sunucusu kullanarak intranet adlarını çözümler ve İnternet'te bir ad sunucusu kullanarak İnternet adlarını çözümler.

Güvenli dinamik güncelleştirme

DNS güncelleştirme güvenliği yalnızca Active Directory ile tümleştirilmiş bölgeler için kullanılabilir. Bir bölgeyi Active Directory ile tümleştirdiğinizde, DNS konsolunda, belirli bir bölge veya kaynak kaydı için ACL'ye kullanıcı ve grup ekleme veya kaldırma işlemleri için erişim denetim listeleri (ACL) kullanılabilir. ACL'ler yalnızca DNS yönetimi erişim denetimi içindir ve DNS sorgu çözümlemesini etkilemez.

Varsayılan olarak, DNS sunucuları ve istemcileri için dinamik güncelleştirme güvenliği aşağıdaki gibi işlenir:

  • DNS istemcileri önce güvenli olmayan dinamik güncelleştirmeyi kullanmaya çalışır. Güvenli olmayan bir güncelleştirme reddedilirse, istemciler güvenli güncelleştirmeyi kullanmaya çalışır.

    Varsayılan güncelleştirme ilkesi, istemcilerin engellenmediği sürece önceden kaydedilmiş bir kaynak kaydının üzerine yazmaya çalışmalarına izin verir.

  • Bir bölge Active Directory ile tümleşik hale geldikten sonra, Windows Server çalıştıran DNS sunucuları varsayılan olarak yalnızca güvenli dinamik güncelleştirmelere izin verir.

    Dosya tabanlı bölge depolaması kullandığınızda, DNS Sunucusu hizmeti için varsayılan değer bölgelerinde dinamik güncelleştirmelere izin verilmemesidir. Dizinle tümleşik olan veya standart dosya tabanlı depolama kullanan bölgeler için, bölgeyi tüm dinamik güncelleştirmelere izin verecek şekilde değiştirebilirsiniz. Bu ayar tüm güncelleştirmelerin kabul edilmesine izin verir.

Dinamik güncelleştirme, RFC 2136'da tanımlanan DNS standart belirtimine bir ektir.

DNS kaynak kayıtlarının dinamik kaydı, kayıt defteri girdilerinin kullanımıyla kısıtlanabilir.

Güvenli dinamik güncelleştirme nasıl çalışır?

Güvenli dinamik güncelleştirme işlemi aşağıdaki gibi açıklanmıştır:

  1. Güvenli bir dinamik güncelleştirme başlatmak için, DNS istemcisi önce TKEY kaynak kayıtları kullanılarak belirteçlerin istemci ile sunucu arasında geçirildiği güvenlik bağlamı anlaşması işlemini başlatır. Müzakere sürecinin sonunda güvenlik bağlamı oluşturulur.

  2. DNS istemcisi dinamik güncelleştirme isteğini DNS sunucusuna gönderir. Bu istek veri ekleme, silme veya değiştirme için kaynak kayıtları içerir.

    1. İstek, önceden oluşturulmuş güvenlik bağlamı kullanılarak imzalanır.

    2. İmza, dinamik güncelleştirme paketine dahil edilen TSIG kaynak kaydına geçirilir.

  3. Sunucu, istemcinin kimlik bilgilerini kullanarak Active Directory'yi güncelleştirmeyi dener ve güncelleştirmenin sonucunu istemciye gönderir. Bu sonuçlar, güvenlik bağlamı ve yanıta dahil edilen TSIG kaynak kaydıyla iletilen imza kullanılarak da imzalanır.

Güvenli dinamik güncelleştirme işlemi

Güvenli dinamik güncelleştirme işlemi aşağıdaki gibi açıklanmıştır:

  1. DNS istemcisi, hangi DNS sunucusunun güncelleştirmeye çalıştığı etki alanı adı için yetkili olduğunu belirlemek için tercih edilen DNS sunucusunu sorgular. Tercih edilen DNS sunucusu, bölgenin adıyla ve bölge için yetkili olan birincil DNS sunucusuyla yanıt verir.

  2. DNS istemcisi standart bir dinamik güncelleştirme dener ve bölge yalnızca güvenli dinamik güncelleştirmelere (Active Directory ile tümleşik bölgeler için varsayılan yapılandırma) izin verecek şekilde yapılandırılmışsa, DNS sunucusu güvenli olmayan güncelleştirmeyi reddeder. Bölge, güvenli dinamik güncelleştirme yerine standart dinamik güncelleştirme için yapılandırılmışsa, DNS sunucusu DNS istemcisinin bu bölgedeki kaynak kayıtlarını ekleme, silme veya değiştirme girişimini kabul eder.

  3. DNS istemcisi ve DNS sunucusu TKEY anlaşmasına başlar.

    1. DNS istemcisi ve DNS sunucusu, temel alınan bir güvenlik mekanizmasını tartışır. Windows dinamik güncelleştirme istemcileri ve DNS sunucuları yalnızca Kerberos protokollerini kullanabilir.

    2. Güvenlik mekanizmasını kullanarak, DNS istemcisi ve DNS sunucusu ilgili kimliklerini doğrular ve güvenlik bağlamını oluşturur.

  4. DNS istemcisi, dinamik güncelleştirme isteğini DNS sunucusuna gönderir ve oluşturulan güvenlik bağlamı kullanılarak imzalanır. İmza, dinamik güncelleştirme isteği paketine dahil edilen TSIG kaynak kaydının imza alanına eklenir. DNS sunucusu, güvenlik bağlamını ve TSIG imzasını kullanarak dinamik güncelleştirme paketinin kaynağını doğrular.

  5. DNS sunucusu Active Directory'de kaynak kayıtları eklemeye, silmeye veya değiştirmeye çalışır. Güncelleştirme, DNS istemcisinin uygun izinlere sahip olup olmadığına ve önkoşulların karşılanıp karşılanmayacağına bağlıdır.

  6. DNS sunucusu, DNS istemcisine, oluşturulan güvenlik bağlamı kullanılarak imzalanmış güncelleştirmeyi yapıp yapmadığını belirten bir yanıt gönderir. İmza, dinamik güncelleştirme yanıt paketine dahil edilen TSIG kaynak kaydının imza alanına eklenir. DNS istemcisi sahte bir yanıt alırsa, bunu yoksayar ve imzalı bir yanıt bekler.

FQDN seçeneğini desteklemeyen DHCP istemcileri için güvenlik

FQDN seçeneğini (seçenek 81) desteklemeyen Windows DHCP istemcileri dinamik güncelleştirmeler yapamaz. Bu istemcilerin A ve PTR kaynak kayıtlarının DNS'de dinamik olarak kaydedilmesini istiyorsanız, DHCP sunucusunu kendi adına dinamik güncelleştirmeler gerçekleştirecek şekilde yapılandırmanız gerekir.

DHCP sunucusunun FQDN seçeneğini desteklemeyen DHCP istemcileri adına güvenli dinamik güncelleştirmeler gerçekleştirmesi, izin sorununu önlemek için ek yapılandırma gerektirir. Dhcp sunucusu bir ad üzerinde güvenli bir dinamik güncelleştirme gerçekleştirdiğinde, bu adın sahibi olur. Yalnızca bu DHCP sunucusu bu ad için herhangi bir kaydı güncelleştirebilir.

Örneğin, DHCP sunucusu DHCP1'in ad host1.example.com için bir nesne oluşturup yanıt vermeyi durdurduğunu ve daha sonra yedek DHCP sunucusu OLAN DHCP2'nin aynı ada host1.example.comsahip bir kaydı güncelleştirmeyi denediğini varsayalım. Bu durumda, ADın sahibi olmadığı için DHCP2 adı güncelleştiremez.

Bu sorunu önlemek için DnsUpdateProxy adlı yerleşik güvenlik grubunu kullanın. Tüm DHCP sunucularını DnsUpdateProxy grubunun üyesi olarak eklerseniz, ilk sunucu başarısız olursa başka bir sunucu bir sunucunun kayıtlarını güncelleştirebilir. Ayrıca, DnsUpdateProxy grubunun üyeleri tarafından oluşturulan tüm nesnelerin güvenliği sağlanmadığı için, DNS adıyla ilişkili kayıt kümesini değiştiren ilk kullanıcı sahibi olur. Eski istemciler yükseltildiğinde, DNS sunucusunda ad kayıtlarının sahipliğini alabilirler. Eski istemciler için kaynak kayıtlarını kaydeden her DHCP sunucusu DnsUpdateProxy grubunun üyesiyse, daha önce açıklanan sorunlar oluşmaz.

DnsUpdateProxy grubunu kullanarak kayıtların güvenliğini sağlama

DHCP sunucusu DnsUpdateProxy grubunun üyesi olduğunda, kaydettirdiği DNS etki alanı adlarının güvenliğini sağlamaz. Sonuç olarak, grubun üyeleri tarafından oluşturulan kayıtların güvenliğini sağlamak için daha fazla adım atmadan yalnızca dinamik güncelleştirmelerin güvenliğini sağlayan active directory tümleşik bölgesinde bu grubu kullanmayın.

Güvenli olmayan kayıtlara karşı koruma sağlamak veya DnsUpdateProxy grubunun üyelerinin kayıtları yalnızca güvenli dinamik güncelleştirmelere izin veren bölgelere kaydetmesine izin vermek için ayrılmış bir kullanıcı hesabı oluşturun. Bu kullanıcı hesabının kimlik bilgilerini kullanarak, DHCP sunucularını DNS dinamik güncelleştirmeleri gerçekleştirecek şekilde yapılandırın. Birden çok DHCP sunucusu, bir ayrılmış kullanıcı hesabının kimlik bilgilerini kullanabilir.

Ayrılmış kullanıcı hesabı, yalnızca DNS dinamik güncelleştirme kaydı için kimlik bilgilerine sahip DHCP sunucularını sağlamak için kullanılan standart bir kullanıcı hesabıdır. Her DHCP sunucusu, DNS dinamik güncelleştirmesini kullanarak DHCP istemcileri adına ad kaydederken bu kimlik bilgilerini sağlar. Ayrılmış kullanıcı hesabı, güncelleştirilecek bölge için birincil DNS sunucusunun bulunduğu ormanda oluşturulur. Ayrılmış kullanıcı hesabı, bulunduğu ormanda güncelleştirilecek bölgenin birincil DNS sunucusunu içeren orman güveni olduğu sürece başka bir ormanda da bulunabilir.

Bir etki alanı denetleyicisine yüklendiğinde, DHCP Sunucusu hizmeti etki alanı denetleyicisinin güvenlik izinlerini devralır. Başka bir deyişle, güvenli bir Active Directory ile tümleşik bölgede kayıtlı tüm DNS kayıtlarını güncelleştirme veya silme yetkisine sahiptir. Etki alanı denetleyicileri gibi Windows Server çalıştıran diğer bilgisayarlar bu kayıtları güvenli bir şekilde kaydeder. Bir etki alanı denetleyicisine yüklendiğinde, sunucunun etki alanı denetleyicisinin ayrıcalıklarını devralmasını ve muhtemelen kötüye kullanmasını önlemek için DHCP sunucusunu ayrılmış kullanıcı hesabının kimlik bilgileriyle yapılandırın.

Ayrılmış bir kullanıcı hesabı yapılandırın ve dhcp sunucusu hizmetini aşağıdaki koşullarda hesap kimlik bilgileriyle yapılandırın:

  • Bir etki alanı denetleyicisi DHCP sunucusu olarak işlev görecek şekilde yapılandırılır.
  • DHCP sunucusu, DHCP istemcileri adına DNS dinamik güncelleştirmeleri gerçekleştirecek şekilde yapılandırılmıştır.
  • DHCP sunucusu, yalnızca güvenli dinamik güncelleştirmelere izin verecek şekilde yapılandırılmış DNS bölgelerini güncelleştirir.

Ayrılmış bir kullanıcı hesabı oluşturduktan sonra, DHCP konsolunu veya komutunu netsh dhcp server set dnscredentialskullanarak DHCP sunucularını kullanıcı hesabı kimlik bilgileriyle yapılandırabilirsiniz.

Note

  • Sağlanan kimlik bilgileri DnsUpdateProxy güvenlik grubunun üyesi olan bir nesneye aitse, DNS'de aynı ad kaydını kaydetmek için bir sonraki nesne kayıt sahibi olur.

  • DHCP istemci bilgisayarlarını DNS'ye kaydederken kullanılacak DHCP sunucusunun kimlik bilgilerini belirtirseniz, bu kimlik bilgileri yedeklenmez. DHCP veritabanı geri yüklendikten sonra yeni kimlik bilgilerinin yapılandırılması gerekir.

  • Last updated on