Klientské počítače DNS (Domain Name System) mohou dynamickou aktualizaci používat k registraci a dynamické aktualizaci svých záznamů o prostředcích se serverem DNS, kdykoli dojde ke změně. Tato funkce omezuje nutnost ruční správy záznamů zóny, především u klientských počítačů, které se často přesunují nebo mění své umístění a k získání adresy IP používají protokol DHCP (Dynamic Host Configuration Protocol).

Služba Klient DNS a služba Server DNS podporují použití dynamických aktualizací v souladu s popisem v dokumentu RFC (Request for Comments) 2136, „Dynamic Updates in the Domain Name System“ (Dynamické aktualizace v systému DNS). Služba Server DNS umožňuje povolit nebo zakázat dynamickou aktualizaci pro jednotlivé zóny na každém serveru nakonfigurovaném k načtení standardní primární zóny nebo zóny integrované s adresářovou službou. Je-li služba Klient DNS nakonfigurována pro protokol TCP/IP, bude ve výchozím nastavení dynamicky aktualizovat záznamy o prostředcích hostitele (A) ve službě DNS.

Jak klientské počítače a servery aktualizují názvy DNS

Počítače staticky nakonfigurované pro protokol TCP/IP se ve výchozím nastavení pokoušejí dynamicky registrovat záznamy o prostředcích hostitele (A) a záznamy o prostředcích ukazatele (PTR) pro adresy IP nakonfigurované a používané síťovými připojeními, které jsou v nich nainstalovány. Ve výchozím nastavení registrují všechny počítače záznamy na základě příslušného plně kvalifikovaného názvu domény.

Úplný primární název počítače (FQDN) vznikne připojením primární přípony DNS počítače k příslušnému názvu počítače.

Další informace:

  • Klient DNS se ve výchozím nastavení nepokouší o dynamickou aktualizaci zón domén nejvyšší úrovně. Jakákoli zóna, která má jednomístný název (například com, cz, edu, moje-firma), je považována za zónu domény nejvyšší úrovně. Chcete-li v konfiguraci klienta DNS povolit dynamickou aktualizaci zón domén nejvyšší úrovně, můžete použít nastavení zásady Aktualizovat zóny domén nejvyšší úrovně nebo upravit registr.

  • Ve výchozím nastavení musí být přípona primárního názvu DNS v úplném názvu domény počítače shodná s názvem domény služby AD DS (Active Directory Domain Services), k níž je počítač připojen. Chce-li správce domény povolit různé primární přípony DNS, může vytvořit omezený seznam povolených přípon tak, že v kontejneru objektů domény upraví atribut msDS-AllowedDNSSuffixes. Tento atribut je spravován správcem domény pomocí rozhraní ASDI (Active Directory Service Interfaces) nebo pomocí protokolu LDAP (Lightweight Directory Access Protocol).

Dynamické aktualizace mohou být odeslány z kteréhokoli z následujících důvodů či událostí:

  • Pro kterékoli z nainstalovaných síťových připojení je přidána, odstraněna či modifikována adresa IP v konfiguraci vlastností protokolu TCP/IP.

  • Zapůjčení adresy IP změní nebo obnoví kterékoli z nainstalovaných síťových připojení na serveru DHCP (například pokud je spuštěn počítač nebo je použit příkaz ipconfig /renew).

  • Je použit příkaz ipconfig /registerdns k ručnímu vynucení aktualizace registrace názvu klienta v systému DNS.

  • Při spuštění, když se zapne počítač.

  • Členský server je povýšen na řadič domény.

Pokud jedna z předešlých událostí spustí dynamickou aktualizaci, odešle služba Klient DHCP (nikoli služba Klient DNS) aktualizace. Tento proces je navržen tak, že pokud dojde ke změně informací adresy IP způsobené službou DHCP, jsou provedeny odpovídající aktualizace ve službě DNS, které synchronizují pro počítač mapování názvů na adresy. Služba Klient DHCP plní tuto funkci u všech síťových připojení v systému, včetně těch, která nejsou nakonfigurována pro použití protokolu DHCP.

Příklad: Jak funguje dynamická aktualizace

Dynamické aktualizace jsou obvykle požadovány při změně názvu DNS nebo adresy IP v počítači. Předpokládejme například, že klient nazvaný oldhost je v dialogovém okně Vlastnosti systému nejprve nakonfigurován s následujícími názvy:

Název počítače

oldhost

Název domény DNS počítače

tailspintoys.com

Úplný název počítače

oldhost.tailspintoys.com 

V tomto příkladu nejsou pro počítač nakonfigurovány žádné názvy domén DNS specifické pro připojení. Později je počítač přejmenován z oldhost na newhost, což způsobí v systému následující změny názvů:

Název počítače

newhost

Název domény DNS počítače

tailspintoys.com

Úplný název počítače

newhost.tailspintoys.com 

Po potvrzení změny názvu v okně Vlastnosti systému se zobrazí výzva k restartování počítače. Po restartování počítače a systému Windows provede služba Klient DHCP následující kroky k aktualizaci služby DNS:

  1. Služba Klient DHCP pošle dotaz typu SOA (Start of Authority) s názvem domény DNS daného počítače.

    Klientský počítač použije aktuálně nakonfigurovaný úplný název počítače (například newhost.tailspintoys.com) jako název zadaný v tomto dotazu.

  2. Autoritativní server DNS pro zónu obsahující plně kvalifikovaný název domény klienta odpoví na dotaz typu SOA.

    U standardních primárních zón je primární server (vlastník), který je vrácen v odpovědi na dotaz SOA, stálý a statický. Vždy se shoduje s přesným názvem DNS uvedeným v záznamu o prostředku SOA, který je uložen v zóně. Pokud je však aktualizovaná zóna integrována s adresářovou službou, může kterýkoli server DNS načítající tuto zónu odpovědět a dynamicky vložit vlastní název jako primární server (vlastník) této zóny do odpovědi na dotaz SOA.

  3. Služba Klient DHCP se poté pokusí kontaktovat primární server DNS.

    Klient zpracuje odpověď na dotaz SOA pro svůj název, aby určil adresu IP serveru DNS oprávněného přijmout jeho název jako primární server. Pak provede následující sled kroků potřebný ke kontaktování a dynamické aktualizaci svého primárního serveru:

    1. Pošle žádost o dynamickou aktualizaci primárnímu serveru určenému v odpovědi na dotaz SOA.

      Pokud je aktualizace úspěšná, nenásleduje žádná další akce.

    2. Pokud se tato aktualizace nezdaří, klient dále odešle dotaz typu názvový server (NS) na název zóny specifikovaný v záznamu SOA.

    3. Dostane-li na tento dotaz odpověď, pošle dotaz typu SOA prvnímu serveru DNS uvedenému v odpovědi.

    4. Je-li dotaz typu SOA vyřešen, pošle klient dynamickou aktualizaci na server určený ve vráceném záznamu SOA.

      Pokud je aktualizace úspěšná, nenásleduje žádná další akce.

    5. Pokud se aktualizace nezdaří, opakuje klient proces dotazu SOA jeho posláním dalšímu serveru DNS, který je uveden v odpovědi.

  4. Po kontaktování primárního serveru, který může aktualizaci provést, odešle klient žádost o aktualizaci a server ji zpracuje.

    Žádost o aktualizaci obsahuje instrukce k přidání záznamů o prostředcích hostitele (A) (a případně záznamy o prostředcích ukazatele (PTR)) pro název newhost.tailspintoys.com a k odstranění stejných typů záznamů pro název oldhost.tailspintoys.com, který byl registrován dříve.

    Server se rovněž přesvědčí, zda jsou pro žádost klienta povoleny aktualizace. U standardních primárních zón nejsou dynamické aktualizace zabezpečeny, takže každý pokus klienta o aktualizaci uspěje. U zón integrovaných se službou AD DS jsou aktualizace zabezpečeny a provádějí se pomocí nastavení zabezpečení platných pro adresářovou službu.

Dynamické aktualizace se odesílají či aktualizují pravidelně. Ve výchozím nastavení odesílají počítače aktualizace každých 7 dnů. Pokud se aktualizací nezmění data zóny, zůstane zóna ve své současné verzi a žádné změny se nezapíšou. Aktualizace vyvolají skutečné změny zóny nebo zvýšené přenosy zóny, jen pokud se názvy či adresy skutečně změní.

Služba Klient DHCP při registraci záznamů o prostředcích hostitele (A) a záznamů o prostředcích ukazatele (PTR) pro počítač používá výchozí hodnotu TTL (Time-To-Live) pro uchování v mezipaměti v délce 15 minut. Tím je určeno, jak dlouho jiné servery a klienti DNS uchovávají v mezipaměti záznamy počítače, jsou-li obsaženy v odpovědi na dotaz.

Zabezpečená dynamická aktualizace

Zabezpečení aktualizace služby DNS je k dispozici pouze pro zóny integrované se službou AD DS. Pokud integrujete zónu s adresářovou službou, jsou v nástroji Správce DNS k dispozici funkce pro úpravu seznamů řízení přístupu (ACL), které umožňují do seznamu ACL pro určitou zónu nebo záznam o prostředku přidávat nebo z něj odebírat uživatele či skupiny.

Ve výchozím nastavení může zabezpečení dynamické aktualizace pro servery a klienty DNS probíhat takto:

  • Klienti DNS se nejprve pokoušejí použít nezabezpečenou dynamickou aktualizaci. Je-li nezabezpečená aktualizace odmítnuta, pokusí se klienti použít zabezpečenou aktualizaci.

    Klienti také používají výchozí zásady aktualizace, které jim dovolují pokusit se o přepsání dříve zaregistrovaného záznamu o prostředku, pokud je specificky neblokuje zabezpečení aktualizace.

  • Po integraci zóny se službou AD DS jsou u serverů DNS se systémem Windows Server® 2008 standardně povoleny pouze zabezpečené dynamické aktualizace.

    Používáte-li standardní ukládání zóny, server DNS ve výchozím nastavení nedovolí ve svých zónách dynamické aktualizace. Nastavení zón integrovaných s adresářovou službou a zón používajících standardní ukládání do souborů lze změnit a povolit v nich všechny dynamické aktualizace.


Obsah