I computer client DNS (Domain Name System) possono utilizzare la funzionalità di aggiornamento dinamico per registrare e aggiornare in modo dinamico i record di risorse con un server DNS ogni volta che vengono apportate modifiche. In questo modo si riducono le operazioni di amministrazione manuali necessarie per i record di zona, in particolare per i client che vengono spostati o cambiano posizione frequentemente e utilizzano il protocollo DHCP (Dynamic Host Configuration Protocol) per ottenere un indirizzo IP.

I servizi Client DNS e Server DNS supportano l'utilizzo degli aggiornamenti dinamici, come descritto nella specifica RFC (Request for Comments) 2136 relativa agli aggiornamenti dinamici nel DNS. Il servizio Server DNS consente di attivare o disattivare l'aggiornamento dinamico per le singole zone in ogni server configurato per il caricamento di una zona primaria standard o di una zona integrata in Active Directory. Per impostazione predefinita, se il servizio Client DNS è configurato per TCP/IP, aggiorna in modo dinamico i record di risorse host (A) nel DNS.

Aggiornamento dei nomi DNS nei computer client e server

Per impostazione predefinita, i computer configurati in modo statico per TCP/IP tentano di registrare in modo dinamico i record di risorse host (A) e puntatore (PTR) per gli indirizzi IP configurati e utilizzati dalle relative connessioni di rete installate. Per impostazione predefinita, tutti i computer registrano i record in base al nome di dominio completo (FQDN).

Il nome computer completo primario, un FQDN, è costituito dal suffisso DNS primario di un computer aggiunto al relativo nome computer.

Ulteriori considerazioni:

  • Per impostazione predefinita, il client DNS non tenta aggiornamenti dinamici delle zone di domini di livello superiore (TLD, Top Level Domain). Qualsiasi zona a cui viene assegnato un nome con etichetta singola è considerata una zona di dominio di livello superiore, ad esempio com, edu, blank, my-company. Per configurare un client DNS per consentire l'aggiornamento dinamico delle zone di domini di livello superiore, utilizzare l'impostazione dei criteri Aggiorna zone di domini di livello superiore (Top Level Domain) o modificare il Registro di sistema.

  • Per impostazione predefinita, la parte relativa al suffisso DNS primario dell'FQDN di un computer è uguale al nome del dominio di Servizi di dominio Active Directory a cui viene aggiunto il computer. Per consentire l'utilizzo di suffissi DNS primari diversi, l'amministratore di dominio può creare un elenco limitato di suffissi accettati mediante la modifica dell'attributo msDS-AllowedDNSSuffixes nel contenitore di oggetti del dominio. Questo attributo viene gestito dall'amministratore di dominio utilizzando Active Directory Service Interfaces (ADSI) o Lightweight Directory Access Protocol (LDAP).

Gli aggiornamenti dinamici possono essere inviati per i motivi o gli eventi seguenti:

  • Nella configurazione delle proprietà TCP/IP di una qualsiasi delle connessioni di rete installate viene aggiunto, rimosso o modificato un indirizzo IP.

  • Il lease degli indirizzi IP cambia o rinnova con il server DHCP una qualsiasi delle connessioni di rete installate, ad esempio quando viene avviato il computer o si utilizza il comando ipconfig /renew.

  • Viene utilizzato il comando ipconfig /registerdns per forzare manualmente un aggiornamento della registrazione del nome del client nel DNS.

  • All'avvio, quando viene acceso il computer.

  • Viene eseguito l'innalzamento di livello di un server membro a controller di dominio.

Quando uno degli eventi precedenti dà luogo a un aggiornamento dinamico, è il servizio Client DHCP e non il servizio Client DNS a inviare gli aggiornamenti. In base a questo meccanismo, se le informazioni relative agli indirizzi IP vengono modificate da DHCP, nel DNS vengono eseguiti gli aggiornamenti corrispondenti per sincronizzare i mapping tra nomi e indirizzi per il computer. Il servizio Client DHCP svolge questa funzione per tutte le connessioni di rete del sistema, incluse quelle non configurate per l'utilizzo di DHCP.

Esempio: funzionamento dell'aggiornamento dinamico

Gli aggiornamenti dinamici in genere sono richiesti quando nel computer cambia un nome DNS o un indirizzo IP. Si supponga ad esempio che un client denominato oldhost venga inizialmente configurato in Proprietà sistema con i nomi seguenti.

Nome computer

oldhost

Nome di dominio DNS del computer

tailspintoys.com

Nome computer completo

oldhost.tailspintoys.com 

In questo esempio per il computer non sono configurati nomi di dominio DNS specifici della connessione. Successivamente il computer da oldhost viene rinominato newhost e di conseguenza nel sistema i nomi cambiano come indicato di seguito.

Nome computer

newhost

Nome di dominio DNS del computer

tailspintoys.com

Nome computer completo

newhost.tailspintoys.com 

Dopo aver applicato la modifica del nome in Proprietà sistema, viene chiesto di riavviare il computer. Quando viene riavviato Windows, il servizio Client DHCP esegue la sequenza di operazioni seguenti per aggiornare il DNS:

  1. Il servizio Client DHCP invia una query di tipo SOA (Start of Authority) utilizzando il nome di dominio DNS del computer.

    Il computer client utilizza l'FQDN attualmente configurato del computer, ad esempio newhost.tailspintoys.com, come nome specificato nella query.

  2. Il server DNS autorevole per la zona contenente l'FQDN del client risponde alla query di tipo SOA.

    Per le zone primarie standard, il server primario (proprietario) restituito nella risposta alla query SOA è fisso e statico. Corrisponde sempre al nome DNS esatto così come si trova nel record di risorse SOA archiviato con la zona. Se invece la zona da aggiornare è integrata in Active Directory, qualsiasi server DNS che carica la zona può rispondere e inserire in modo dinamico il proprio nome come server primario (proprietario) della zona nella risposta alla query SOA.

  3. Il servizio Client DHCP quindi tenta di contattare il server DNS primario.

    Il client elabora la risposta alla query SOA per il relativo nome in modo da determinare l'indirizzo IP del server DNS autorizzato come server primario ad accettare il nome. Esso quindi esegue la sequenza di passaggi seguente per contattare e aggiornare in modo dinamico il server primario:

    1. Invia una richiesta di aggiornamento dinamico al server primario che viene determinato nella risposta alla query SOA.

      Se l'aggiornamento ha esito positivo, non vengono eseguite altre operazioni.

    2. Se invece l'aggiornamento ha esito negativo, il client invia una query di tipo NS (Name Server) per il nome della zona specificato nel record SOA.

    3. Quando riceve una risposta a questa query, invia una query SOA al primo server DNS elencato nella risposta.

    4. Dopo la risoluzione della query SOA, il client invia un aggiornamento dinamico al server specificato nel record SOA restituito.

      Se l'aggiornamento ha esito positivo, non vengono eseguite altre operazioni.

    5. Se invece l'aggiornamento ha esito negativo, il client ripete il processo di query SOA effettuando l'invio al successivo server DNS elencato nella risposta.

  4. Dopo aver contattato il server primario in grado di eseguire l'aggiornamento, il client invia la richiesta di aggiornamento e il server la elabora.

    Nel contenuto della richiesta di aggiornamento sono incluse le istruzioni per aggiungere record di risorse host (A) ed eventualmente puntatore (PTR) per newhost.tailspintoys.com e per rimuovere questi stessi tipi di record per oldhost.tailspintoys.com, ovvero il nome registrato precedentemente.

    Il server inoltre verifica che gli aggiornamenti siano consentiti per la richiesta client. Per le zone primarie standard, poiché gli aggiornamenti dinamici non sono protetti, tutti i tentativi di aggiornamento da parte dei client hanno esito positivo. Per le zone integrate in Servizi di dominio Active Directory, gli aggiornamenti sono protetti e vengono eseguiti utilizzando impostazioni di sicurezza basate su Active Directory.

Gli aggiornamenti dinamici vengono inviati o aggiornati periodicamente. Per impostazione predefinita, i computer inviano un aggiornamento ogni sette giorni. Se l'aggiornamento non comporta modifiche dei dati della zona, questa viene mantenuta nella versione corrente e non viene scritta alcuna modifica. Gli aggiornamenti comportano modifiche effettive delle zone o un aumento dei trasferimenti di zona solo se a cambiare sono i nomi o gli indirizzi.

Quando il servizio Client DHCP registra i record di risorse host (A) e puntatore (PTR) per un computer, utilizza un valore TTL di memorizzazione nella cache predefinito pari a 15 minuti per i record host. Questo valore determina per quanto tempo gli altri server e client DNS mantengono nella cache i record di un computer inclusi nella risposta a una query.

Aggiornamento dinamico sicuro

La sicurezza degli aggiornamenti DNS è disponibile solo per le zone integrate in Servizi di dominio Active Directory. Quando si integra una zona in Active Directory, in Gestore DNS sono disponibili funzionalità di modifica degli elenchi di controllo di accesso (ACL, Access Control List) che consentono di aggiungere o rimuovere utenti o gruppi dall'ACL di una zona o di un record di risorse specifico.

Per impostazione predefinita, la sicurezza degli aggiornamenti dinamici per i server e i client DNS può essere gestita come descritto di seguito:

  • I client DNS tentano innanzitutto di utilizzare l'aggiornamento dinamico non protetto. Se l'aggiornamento non protetto viene rifiutato, i client tentano di utilizzare l'aggiornamento sicuro.

    I client inoltre utilizzano un criterio di aggiornamento predefinito che consente di tentare di sovrascrivere un record di risorse precedentemente registrato, purché l'operazione non sia bloccata in modo specifico dalla sicurezza dell'aggiornamento.

  • Dopo l'integrazione di una zona in Servizi di dominio Active Directory, i server DNS che eseguono Windows Server® 2008 consentono per impostazione predefinita solo gli aggiornamenti dinamici sicuri.

    Quando si utilizza l'archiviazione di zone standard, per impostazione predefinita il servizio Server DNS non consente gli aggiornamenti dinamici nelle relative zone. Per le zone che sono integrate in Active Directory o che utilizzano l'archiviazione su file standard, è possibile modificare la zona per consentire tutti gli aggiornamenti dinamici. In questo modo verranno accettati tutti gli aggiornamenti.

Argomenti della Guida