Met dynamische updates kunnen DNS-clientcomputers (Domain Name System) bronrecords registreren bij een DNS-server, en deze records dynamisch bijwerken wanneer er wijzigingen optreden. Handmatig beheer van zonerecords is hierdoor minder vaak nodig, vooral voor clients die vaak worden verplaatst en die DHCP (Dynamic Host Configuration Protocol) gebruiken om een IP-adres te verkrijgen.

De DNS Client-service en de DNS Server-service bieden ondersteuning voor het gebruik van dynamische updates, zoals beschreven in RFC (Request for Comment) 2136, 'Dynamic Updates in the Domain Name System'. In de DNS Server-service kunnen dynamische updates per zone worden in- of uitgeschakeld voor elke server die is geconfigureerd voor het laden van een gewone primaire zone of een met AD DS geïntegreerde zone. A-bronrecords (host) in DNS worden standaard dynamisch bijgewerkt door de DNS Client-service als deze is geconfigureerd voor TCP/IP.

Hoe worden DNS-namen bijgewerkt door clients en servers?

Computers die statisch zijn geconfigureerd voor TCP/IP, proberen standaard een dynamische registratie uit te voeren van A-bronrecords (host) en PTR-bronrecords (pointer) voor IP-adressen die zijn geconfigureerd en worden gebruikt door de voor hen geïnstalleerde netwerkverbindingen. Volgens de standaardinstelling worden records door alle computers geregistreerd op basis van de FQDN (Fully Qualified Domain Name).

De primaire FQDN (of volledige computernaam) is gebaseerd op het primaire DNS-achtervoegsel van een computer, dat is toegevoegd aan de computernaam.

Aanvullende overwegingen:

  • De DNS-client probeert standaard geen dynamische update uit te voeren van zones in topniveaudomeinen. Een zone met een enkelvoudige naam wordt beschouwd als zone in een topniveaudomein, bijvoorbeeld com, edu, leeg, mijn-bedrijf. Als u een DNS-client wilt configureren voor het dynamisch bijwerken van zones in topniveaudomeinen, gebruikt u de beleidsinstelling Topleveldomeinzones bijwerken of wijzigt u het register.

  • Het primaire DNS-achtervoegsel van de FQDN-naam (Fully Qualified Domain Name) van een computer moet standaard overeenkomen met de naam van het AD DS-domein (Active Directory Domain Services) waarvan de computer lid is. Teneinde het gebruik van verschillende primaire DNS-achtervoegsels toe te staan kan een domeinadministrator een beperkte lijst met toegestane achtervoegsels maken door het kenmerk msDS-AllowedDNSSuffixes in de container van het domeinobject te wijzigen. Dit kenmerk wordt door de domeinadministator beheerd met ADSI (Active Directory Service Interfaces) of LDAP (Lightweight Directory Access Protocol).

Dynamische updates worden om de volgende redenen of bij de volgende gebeurtenissen verzonden:

  • Er wordt een IP-adres toegevoegd, verwijderd of gewijzigd in de TCP/IP-eigenschappen van een van de geïnstalleerde netwerkverbindingen.

  • Er wordt een IP-adreslease gewijzigd of vernieuwd op de DHCP-server voor een van de geïnstalleerde netwerkverbindingen. Er worden bijvoorbeeld dynamische updates verzonden wanneer de computer wordt gestart of de opdracht ipconfig /renew wordt gebruikt.

  • De clientnaam in DNS wordt handmatig vernieuwd met de opdracht ipconfig /registerdns.

  • De computer wordt opgestart.

  • Een lidserver wordt gepromoveerd tot domeincontroller.

Wanneer een van de hiervoor genoemde gebeurtenissen een dynamische update veroorzaakt, wordt deze verzonden door de DHCP Client-service (dus niet door de DNS Client-service). De DHCP Client-service verzendt alle updates, zodat er ook updates worden uitgevoerd in DNS wanneer de IP-adresgegevens worden gewijzigd vanwege DHCP. Hierdoor blijven de toewijzingen van computernamen aan IP-adressen voor de computer gesynchroniseerd. De DHCP Client-service voert updates uit voor alle netwerkverbindingen op het systeem, zelfs voor verbindingen die niet zijn geconfigureerd voor het gebruik van DHCP.

Voorbeeld: de werking van dynamische updates

De meeste dynamische updates worden uitgevoerd doordat een DNS-naam of IP-adres is gewijzigd op de computer. Stel bijvoorbeeld dat de client oudehost aanvankelijk met de volgende namen in Systeemeigenschappen wordt geconfigureerd.

Computernaam

oudehost

DNS-domeinnaam van computer

tailspintoys.com

Volledige computernaam

oudehost.tailspintoys.com 

In dit voorbeeld zijn geen verbindingsspecifieke DNS-domeinnamen voor de computer geconfigureerd. Later wordt de computernaam gewijzigd in nieuwehost. Dit leidt tot de volgende naamwijzigingen op het systeem.

Computernaam

nieuwehost

DNS-domeinnaam van computer

tailspintoys.com

Volledige computernaam

nieuwehost.tailspintoys.com 

Nadat u deze naamwijziging hebt doorgevoerd in Systeemeigenschappen, wordt u gevraagd de computer opnieuw op te starten. Wanneer Windows opnieuw wordt gestart, voert de DHCP Client-service worden de volgende handelingen uitgevoerd om DNS bij te werken:

  1. De DHCP Client-service verzendt een SOA-query (Start of Authority) op basis van de DNS-domeinnaam van de computer.

    De clientcomputer gebruikt de huidige FQDN-naam van de computer (bijvoorbeeld nieuwehost.tailspintoys.com) als de opgegeven naam in deze query.

  2. De DNS-server die als autoriteit fungeert voor de zone waarin de FQDN-naam van de client is opgenomen, beantwoordt de SOA-query.

    Voor standaard primaire zones is de primaire server (eigenaar) die in het antwoord op de SOA-query wordt geretourneerd, een vaste en statische server. Deze server komt altijd precies overeen met de DNS-naam die wordt weergegeven in de SOA-bronrecord van de zone. Als de bij te werken zone echter in AD DS is geïntegreerd, kunnen alle DNS-servers waarop de zone wordt geladen, de query beantwoorden en hun eigen naam invullen als primaire server (eigenaar) van de zone.

  3. De DHCP Client-service probeert contact te maken met de primaire DNS-server.

    De client verwerkt het antwoord op de SOA-query om het IP-adres te bepalen van de DNS-server die als primaire server de autoriteit heeft om de clientnaam te accepteren. Vervolgens voert de client de volgende stappen uit om contact te maken met de primaire server en om hierop een dynamische update uit te voeren:

    1. De client verzendt een dynamische updateaanvraag naar de primaire server die in het antwoord op de SOA-query is vermeld.

      Als de update slaagt, wordt er verder niets gedaan.

    2. Als de update mislukt, verzendt de client een NS-query (naamserver) voor de zonenaam die in de SOA-record is opgegeven.

    3. Zodra de client hierop antwoord ontvangt, verzendt deze een SOA-query naar de eerste DNS-server uit het antwoord.

    4. Nadat de SOA-query is herleid, verzendt de client een dynamische update naar de server die in de geretourneerde SOA-record is vermeld.

      Als de update slaagt, wordt er verder niets gedaan.

    5. Als de update mislukt, herhaalt de client het SOA-queryproces. De client verzendt dan een SOA-query naar de volgende DNS-server uit het antwoord.

  4. Nadat contact is gemaakt met de primaire server die de update kan uitvoeren, verzendt de client de updateaanvraag. De update wordt vervoglens door de server verwerkt.

    De updateaanvraag bevat instructies voor het toevoegen van A-bronrecords (host) (en eventueel ook PTR- ofwel Pointer-bronrecords) voor nieuwehost.tailspintoys.com, en voor het verwijderen van deze bronrecords voor oudehost.tailspintoys.com (de aanvankelijk geregistreerde naam).

    De server controleert ook of updates wel zijn toegestaan voor de clientaanvraag. Voor standaard primaire zones zijn dynamische updates niet beveiligd. Hierdoor kan elke client updates uitvoeren. Updates voor met AD DS geïntegreerde zones zijn wel beveiligd. Hierbij worden updates uitgevoerd met behulp van op AD DS gebaseerde beveiligingsinstellingen.

Dynamische updates worden periodiek verzonden of vernieuwd. Computers verzenden standaard om de zeven dagen een vernieuwing. Als de update geen wijzigingen in zonegegevens veroorzaakt, blijft de huidige versie van de zone onveranderd. In dat geval worden geen wijzigingen opgeslagen. Updates veroorzaken alleen zonewijzigingen of zoneoverdrachten als er metterdaad namen of adressen zijn gewijzigd.

Wanneer de DHCP Client-service A-bronrecords (host) en PTR-bronrecords (pointer) registreert voor een computer, hanteert deze voor hostrecords een standaardcache-TTL (Time-To-Live) van 15 minuten. De TTL-waarde bepaalt hoe lang computerrecords die deel uitmaken van een het antwoord op een query, in de cache van andere DNS-servers en -clients mogen worden opgeslagen.

Dynamische updates beveiligen

DNS-updatebeveiliging is alleen beschikbaar voor zones die in AD DS zijn geïntegreerd. Wanneer u een zone in AD DS hebt geïntegreerd, beschikt u in DNS-beheer over ACL-bewerkingsfuncties (Access Control List, toegangsbeheerlijst). Met deze functies kunt u gebruikers of groepen toevoegen aan of verwijderen uit de ACL van een bepaalde zone of bronrecord.

Dynamische updatebeveiliging voor DNS-servers en -clients werkt standaard als volgt:

  • DNS-clients proberen altijd eerst een niet-beveiligde update te gebruiken. Als deze wordt geweigerd, proberen zij een beveiligde update te gebruiken.

    Daarnaast hanteren clients een standaardupdatebeleid. Op grond van dit beleid kunnen zij een eerder geregistreerde bronrecord overschrijven, tenzij dit wordt verhinderd door updatebeveiliging.

  • Nadat een zone in AD DS is geïntegreerd, staan DNS-servers met Windows Server® 2008 alleen nog beveiligde dynamische updates toe.

    Als u standaardzoneopslag gebruikt, staat de DNS Server-service volgens de standaardinstelling niet toe dat er dynamische updates worden uitgevoerd op zones. Bij zones die in AD DS zijn geïntegreerd of die gebruik maken van op bestanden gebaseerde standaardopslag kunt u het gebruik van beveiligde updates uitschakelen, zodat alle dynamische updates worden toegestaan.


Inhoudsopgave