På DNS-klientdatorer (Domain Name System) kan dynamisk uppdatering användas för att registrera och dynamiskt uppdatera resursposter från en DNS-server så snart de ändras. Det gör att det behövs mindre manuell administration av zonposter, i synnerhet för klienter som ofta flyttas och där DHCP (Dynamic Host Configuration Protocol) används för att erhålla en IP-adress.

Tjänsten DNS Client och tjänsten DNS Server har stöd för dynamiska uppdateringar, såsom det beskrivs i RFC 2136 (Request for Comments), "Dynamic Updates in the Domain Name System". Med tjänsten DNS Server går det också att aktivera eller inaktivera dynamisk uppdatering separat per zon på servrar som är konfigurerade att läsa in antingen en primär standardzon eller en Directory-integrerad zon. Som standard uppdateras värdresursposter (A) dynamiskt i DNS när tjänsten är konfigurerad för TCP/IP.

Så här fungerar uppdateringa av DNS-namn på klient- och serverdatorer

Som standard försöker datorer som är statiskt konfigurerade för TCP/IP dynamiskt registrera värdresursposter (A) och pekarresursposter (PTR) för IP-adresser som är konfigurerade och används av de installerade nätverksanslutningarna. Som standard registreras poster på alla datorer baserat på det fullständigt kvalificerade domännamnet (FQDN).

Det primära fullständiga datornamnet, FQDN, baseras på det primära DNS-suffixet för en dator, som läggs till i datornamnet.

Ytterligare hänsyn:

  • Som standard försöker DNS-klienten inte att utföra dynamisk uppdatering på TLD-zoner (domäner på den högsta nivån). Alla zoner som har ett en-delsnamn anses vara en TLD-zon, till exempel com, edu eller mitt-företag. Om du vill konfigurera en DNS-klient så att dynamisk uppdatering av TLD-zoner är tillåtet kan du använda principinställningen Uppdatera domänzoner på den högsta nivån eller ändra registret.

  • Som standard måste den primära DNS-suffixdelen av en dators FQDN överensstämma med namnet på den Active Directory Domain Services-domän (AD DS) som datorn tillhör. Om du vill tillåta olika primära DNS-suffix, kan en domänadministratör generera en begränsad lista med tillåtna suffix genom att ändra attributet msDS-AllowedDNSSuffixes i domänobjektbehållaren. Det här attributet hanteras av domänadministratören med hjälp av ADSI (Active Directory Service Interfaces) eller LDAP (Lightweight Directory Access Protocol).

Dynamiska uppdateringar kan skickas på grund av någon av följande orsaker eller händelser:

  • En IP-adress läggs till, tas bort eller ändras i TCP/IP-egenskaperna för någon av de installerade nätverksanslutningarna.

  • Ett IP-adresslån ändras eller förnyas på DHCP-servern för någon av de installerade nätverksanslutningarna. När datorn t.ex. startas eller om kommandot ipconfig /renew används.

  • Kommandot ipconfig /registerdns används för att manuellt framtvinga en uppdatering av det registrerade klientnamnet i DNS.

  • Vid tiden för start, när datorn slås på.

  • En medlemserver befordras till en domänkontrollant.

När någon av de föregående händelserna utlöser en dynamisk uppdatering skickar tjänsten DHCP Client uppdateringar (inte tjänsten DNS Client). Detta fungerar så att om IP-adressinformationen ändras på grund av DHCP, så utförs motsvarande uppdateringar i DNS för att synkronisera mappningen mellan namn och adresser för datorn. Den här funktionen utförs av tjänsten DHCP Client för alla nätverksanslutningar i systemet, till exempel anslutningar som inte har konfigurerats att använda DHCP.

Exempel: Så här fungerar dynamisk uppdatering

Dynamiska uppdateringar begärs vanligtvis när antingen ett DNS-namn eller en IP-adress ändras på datorn. Anta till exempel att en klient med namnet oldhost först konfigureras i Systemegenskaper med följande namn.

Datornamn

oldhost

DNS-domännamn för den här datorn

tailspintoys.com

Fullständigt datornamn

oldhost.tailspintoys.com 

I det här exemplet har inga anslutningsspecifika domännamn konfigurerats för datorn. Senare ändras datornamnet från oldhost till newhost, vilket leder till följande namnändringar i systemet.

Datornamn

newhost

DNS-domännamn för den här datorn

tailspintoys.com

Fullständigt datornamn

newhost.tailspintoys.com 

När du verkställer namnändringen i Systemegenskaper uppmanas du att starta om datorn. När Windows startas om körs följande sekvens i tjänsten DHCP Client för att uppdatera DNS:

  1. Tjänsten DHCP Client skickar en fråga av typen auktoritetsstart (SOA) genom att använda DNS-domännamnet för datorn.

    Klientdatorn använder det FQDN som är konfigurerat på datorn (till exempel newhost.tailspintoys.com) som det namn som anges i den här frågan.

  2. Den auktoritära DNS-servern för zonen som innehåller FQDN för klienten svarar på SOA-frågan.

    I primära standardzoner är den primära servern (ägaren) som returneras i svaret på SOA-frågan fast och statisk. Den matchar alltid det exakta DNS-namnet som det visas i SOA-resursposten som lagras med zonen. Om zonen som uppdateras är Directory-integrerad kan DNS-servrar som läser in zonen dock svara och dynamiskt infoga sitt eget namn som primär server (ägare) för zonen i svaret på SOA-frågan.

  3. Tjänsten DHCP Client försöker sedan kontakta den primära DNS-servern.

    Klienten bearbetar svaret på SOA-frågan om namnet för att fastställa IP-adressen för DNS-servern som är auktoriserad som primär server när namnet ska godkännas. Sedan fortsätter den med följande sekvens för att kontakta och dynamiskt uppdatera den primära servern:

    1. Den skickar en begäran om dynamisk uppdatering till den primära servern som anges i svaret på SOA-frågan.

      Om uppdateringen kan genomföras vidtas inga ytterligare åtgärder.

    2. Om uppdateringen inte kan genomföras skickar klienten i stället en fråga av namnservertyp (NS) om zonnamnet som anges i SOA-posten.

    3. När den tar emot ett svar på den här frågan skickar den en SOA-fråga till den första DNS-servern som anges i svaret.

    4. När SOA-frågan har besvarats skickar klienten en dynamisk uppdatering till servern som anges i den SOA-post som returnerades.

      Om uppdateringen kan genomföras vidtas inga ytterligare åtgärder.

    5. Om uppdateringen inte kan genomföras upprepar klienten SOA-frågeprocessen genom att skicka frågan till nästa DNS-server som anges i svaret.

  4. När den primära servern som kan utföra uppdateringen har kontaktats skickar klienten en begäran om uppdatering och servern bearbetar den.

    Innehållet i begäran om uppdatering omfattar instruktioner att lägga till värdresurposter (A) (och eventuellt pekarresursposter (PTR)) för newhost.tailspintoys.com och att ta bort samma resursposter för oldhost.tailspintoys.com (det namn som var registrerat förut).

    Servern kontrollerar också att uppdateringar för klientbegäran tillåts. I primära standardzoner är dynamiska uppdateringar inte säkra. Därför genomförs alltid klientuppdateringar. I AD DS-integrerade zoner är uppdateringar säkra och utförs enligt Directory-baserade säkerhetsinställningar.

Dynamiska uppdateringar skickas eller uppdateras periodiskt. Som standard skickas en uppdatering var sjunde dag. Om uppdateringen inte leder till att zondata ändras, ändras inte zonens aktuella version och ändringar sparas inte. Uppdateringar leder endast till att zonen ändras eller zonöverföringen ökar om namn eller adresser faktiskt har ändrats.

När tjänsten DHCP Client registrerar värd- (A) och pekarresursposter (PTR) för en dator används ett standardvärde för TTL (Time to Live) på 15 minuter för värdposter. Det här värdet anger hur länge datorns poster cachelagras på andra DNS-servrar och klienter när posterna ingår i ett frågesvar.

Säkra dynamisk uppdatering

Säkerhetsinställningar för DNS-uppdateringar är endast tillgängliga för zoner som är integrerade i AD DS. När du Directory-integrerar en zon får du tillgång till ACL-redigeringsfunktioner (åtkomstkontrollista) i DNS-hanteraren så att du kan lägga till eller ta bort användare eller grupper från ACL-listan för en viss zon eller resurspost.

Som standard kan säkerhetsinställningar för dynamiska uppdateringar på DNS-servrar och -klienter hanteras på följande sätt:

  • DNS-klienter försöker först att använda osäker dynamisk uppdatering. Om osäker uppdatering nekas försöker klienterna att använda säker uppdatering.

    Klienter använder dessutom en standarduppdateringsprincip som tillåter dem att försöka skriva över en tidigare registrerad resurspost, såvida inte de blockeras specifikt av säkerhetsinställningarna för uppdatering.

  • När en zon är AD DS-integrerad blir standardinställningen på DNS-servrar med Windows Server® 2008 att endast säkra dynamiska uppdateringar tillåts.

    När du använder standardzonlagring är standardinställningen i tjänsten DNS Server att dynamiska uppdateringar i zonerna inte tillåts. I zoner som är antingen Directory-integrerade eller som använder vanlig filbaserad lagring kan du ändra zonen så att alla dynamiska uppdateringar tillåts, vilket gör att alla uppdateringar godkänns.

Innehåll