A tartománynévrendszerben (DNS) az ügyfélszámítógépek a dinamikus frissítés használatával regisztrálhatják és dinamikusan frissíthetik az erőforrásrekordokat egy DNS-kiszolgálóval, amikor változások történnek. Ezáltal ritkábban kell kézi módszerrel karbantartani a zónarekordokat, főleg az olyan ügyfelek esetében, amelyeket gyakran áthelyeznek, illetve amelyek gyakran változtatják a helyüket, és a DHCP protokoll segítségével kapnak IP-címet.

A DNS-ügyfél és a DNS-kiszolgáló szolgáltatás támogatja a dinamikus frissítések használatát az RFC 2136 „Dynamic Updates in the Domain Name System” („Dinamikus frissítések a tartománynévrendszerben”) szabványjavaslatban leírtaknak megfelelően. A DNS-kiszolgáló szolgáltatás minden olyan kiszolgálón engedélyezi a dinamikus frissítések zónánkénti engedélyezését és tiltását, amely beállításának megfelelően a szabványos elsődleges vagy a címtárba integrált zónákat tölti be. Alapértelmezés szerint a DNS-ügyfél szolgáltatás dinamikusan frissíti az állomás (A) erőforrásrekordokat a DNS-ben, amikor a szolgáltatás TCP/IP protokoll használatára van beállítva.

Az ügyfél- és kiszolgáló-számítógépek DNS-névfrissítése

Alapértelmezés szerint azok a számítógépek, amelyek statikusan vannak a TCP/IP protokollra konfigurálva, megpróbálják dinamikusan regisztrálni az állomás (A) erőforrásrekordokat és a mutató (PTR) erőforrásrekordokat olyan IP-címekhez, amelyet azok telepített hálózati kapcsolata konfigurál és használ. Alapértelmezett esetben az összes számítógép a teljesen minősített tartományneve (FQDN) alapján regisztrálja a rekordokat.

Az elsődleges teljes számítógépnév, azaz a teljesen minősített tartománynév egy számítógép elsődleges DNS-utótagján alapszik, amely a számítógépnév után szerepel.

További szempontok:

  • Alapértelmezés szerint a DNS-ügyfél nem próbálkozik a legfelső szintű tartományi (TLD) zónák dinamikus frissítésével. Bármely, egycímkés névvel ellátott zóna TLD-zónának tekintendő, például: com, edu, blank vagy sajatceg. Amennyiben úgy kívánja konfigurálni a DNS-ügyfelet, hogy engedélyezze a TLD-zónák dinamikus frissítését, ezt a Felső szintű tartományzónák frissítése házirendbeállítással, vagy a beállításjegyzék módosításával teheti meg.

  • Alapértelmezés szerint egy számítógép teljesen minősített tartománynevének elsődleges DNS-utótag része megegyezik az Active Directory tartományi szolgáltatások azon tartományának nevével, amelyhez a számítógép csatlakoztatva van. A különféle elsődleges DNS-utótagok használatának engedélyezéséhez a tartományi rendszergazda a tartományi objektumtárolóban lévő msDS-AllowedDNSSuffixes attribútum módosításával létrehozhatja az engedélyezett utótagok korlátozott listáját. Ezt az attribútumot a tartományi rendszergazda az Active Directory Service Interfaces (ADSI) vagy az LDAP protokoll segítségével kezeli.

Dinamikus frissítések bármely következő okok vagy események esetén küldhetők:

  • A telepített hálózati kapcsolatok esetében hozzáadtak, eltávolítottak vagy módosítottak egy IP-címet.

  • A telepített hálózati kapcsolatokban egy IP-címbérlet megváltozik, vagy az a DHCP-kiszolgálóval megújul. Ez előfordulhat például akkor, amikor egy számítógép elindul, vagy az ipconfig /renew parancs használata esetén.

  • Az ipconfig /registerdns parancs manuálisan kikényszeríti az ügyfélnév-regisztráció frissítését a DNS-ben.

  • Indításkor, amikor a számítógép be van kapcsolva.

  • Egy tagkiszolgáló előlép tartományvezérlőnek.

Ha bármely előző esemény dinamikus frissítést indít el, a DHCP-ügyfélszolgáltatás (nem a DNS-ügyfélszolgáltatás) frissítéseket küld. Ez azért van így, mert ha a DHCP miatt IP-cím változás történik, a DNS-ben végbemennek a szükséges frissítések, hogy a számítógépek név-cím leképezései szinkronizálva legyenek. A DHCP-ügyfélszolgáltatás ezt a rendszerben lévő összes hálózati kapcsolat esetében elvégzi, beleértve azokat a kapcsolatokat is, amelyek nem a DHCP használatára lettek konfigurálva.

Példa: A dinamikus frissítés működése

A dinamikus frissítésekre általában akkor van szükség, ha a számítógépen megváltozik egy DNS-név vagy egy IP-cím. Tegyük fel például, hogy egy regiallomas nevű ügyfél a Rendszertulajdonságok beállításaiban az alábbi nevekkel van konfigurálva:

Számítógépnév

regiallomas

A számítógép DNS-tartományneve

de-jo-jatek.hu

A számítógép teljes neve

regiallomas.de-jo-jatek.hu 

Ebben a példában nincsenek kapcsolatspecifikus DNS-tartománynevek konfigurálva a számítógéphez. Később a számítógépet a regiallomas névről az ujallomas névre nevezik át, amely a következő névváltozásokkal jár a rendszerben:

Számítógépnév

ujallomas

A számítógép DNS-tartományneve

de-jo-jatek.hu

A számítógép teljes neve

ujallomas.de-jo-jatek.hu 

Miután alkalmazta a névváltoztatást a Rendszertulajdonságok beállításaiban, újra kell indítania a számítógépet. Amikor a számítógép újraindította a Windows rendszert, a DHCP-ügyfél szolgáltatás a DNS frissítéséhez a következőket hajtja végre:

  1. A DHCP-ügyfél szolgáltatás SOA típusú lekérdezést hajt végre a számítógép DNS-tartománynevét használva.

    Az ügyfélszámítógép a lekérdezésben meghatározott névként a számítógép jelenleg beállított teljesen minősített tartománynevét (FQDN) használja (mint az ujallomas.de-jo-jatek.hu).

  2. A zóna mérvadó DNS-kiszolgálója az ügyfél a SOA típusú lekérdezésre adott, teljesen minősített tartományneveket tartalmazó válaszait tartalmazza.

    A szabványos elsődleges zónáknál, az elsődleges kiszolgáló (tulajdonos), amely a SOA-lekérdezésre adott válaszban visszatér, rögzített és statikus. Mindig megegyezik a zónában tárolt SOA-erőforrásrekordban megjelenő teljes DNS-névvel. Abban az esetben, ha a frissített zóna címtárba integrált, a zónát betöltő bármely DNS-kiszolgáló válaszolhat és dinamikusan beillesztheti a saját nevét a SOA-lekérdezésbe elsődleges kiszolgálóként (tulajdonosként).

  3. Ezután a DHCP-ügyfélszolgáltatás megpróbálja értesíteni az elsődleges DNS-kiszolgálót.

    Az ügyfél lekérdezi a SOA-lekérdezésre kapott válasz nevét, hogy meghatározza annak a DNS-kiszolgálónak az IP-címét, amely elsődleges kiszolgálóként elfogadhatja a nevet. Ezután az elsődleges kiszolgálóval való kapcsolatfelvétel, illetve annak dinamikus frissítése érdekében a következő lépések szükségesek:

    1. Egy, a SOA-lekérdezés válaszában meghatározott dinamikus frissítési kérelmet küld az elsődleges kiszolgálónak.

      Ha a frissítés sikerül, további műveleteket nem hajt végre a program.

    2. Ha a frissítés nem sikerül, az ügyfél ezután egy névkiszolgáló típusú kérelmet küld a SOA-rekordban meghatározott zónának.

    3. Amikor választ kap a kérelemre, akkor az egy SOA-lekérdezést küld a válaszban felsorolt DNS-kiszolgálók közül az elsőnek.

    4. Miután a SOA-lekérdezést feloldotta, az ügyfél dinamikus frissítést küld a válaszul kapott SOA-rekordban meghatározott kiszolgálónak.

      Ha a frissítés sikerül, további műveleteket nem hajt végre a program.

    5. Ha a frissítés nem sikerül, az ügyfél megismétli a SOA-lekérdezés folyamatát úgy, hogy azt a válaszban felsorolt következő DNS-kiszolgálónak küldi.

  4. Miután az ügyfél kapcsolatba lépett azzal elsődleges kiszolgálóval, amely el tudja végezni a frissítést, az ügyfél elküldi a frissítési kérelmet, és a kiszolgáló feldolgozza azt.

    A frissítési kérelem arra vonatkozó utasításokat tartalmaz, hogy hogyan kell hozzáadni az állomás (A) (és esetleg a mutató (PTR)) erőforrásrekordokat az ujallomas.de-jo-jatek.hu tartományhoz, és hogy hogyan kell ezeket a rekordtípusokat a regiallomas.de-jo-jatek.hu tartományból eltávolítani. Ezek azok a nevek, amelyeket az előzőekben regisztrált.

    A kiszolgáló azt is ellenőrzi, hogy az ügyfél kérése esetében engedélyezettek-e a frissítések. A szabványos elsődleges zónáknál a dinamikus frissítések nem biztonságosak, ezért az összes ügyfél próbálkozása sikeres. Az Active Directory tartományi szolgáltatásokba integrált zónák esetén a frissítések biztonságosak, és azok címtáralapú biztonsági beállításokat használva mennek végbe.

A dinamikus frissítéseket a rendszer időszakosan küldi vagy hajtja végre. Alapértelmezés szerint a számítógépek hét naponta küldenek frissítést. Ha a frissítés nem jár a zóna adatainak megváltozásával, akkor a zóna megtartja jelenlegi verzióját, és nem módosul. A frissítések aktuális zónaváltozásokat vagy megnövekedett zónaletöltéseket eredményeznek, de csak akkor, ha nevek vagy címek módosulnak.

Ha a DHCP-ügyfél szolgáltatás egy számítógép esetén állomás (A) és mutató (PTR) típusú erőforrásrekordokat regisztrál, akkor az az alapértelmezett 15 perces gyorsítótár-élettartamot (TTL) rendeli a rekordokhoz. Ez azt határozza meg, hogy egy másik DNS-kiszolgáló és ügyfél mennyi ideig gyorsítótárazza egy számítógép rekordjait, amikor egy lekérdezésre adott válaszban rekordok találhatóak.

Biztonságos dinamikus frissítés

A DNS-frissítés biztonsága csak az Active Directory tartományi szolgáltatásokba integrált zónákban érhető el. Zóna egy címtárba való integrálását követően a hozzáférés-vezérlési lista (ACL) szerkesztési szolgáltatásai elérhetők a DNS-kezelőben, így hozzáadhat vagy eltávolíthat felhasználókat vagy csoportokat a hozzáférés-vezérlési listáról egy megadott zónában vagy erőforrásrekordban.

Alapértelmezés szerint a DNS-kiszolgálók és -ügyfelek esetében a dinamikus frissítés biztonságának kezelése a következő:

  • A DNS-ügyfelek először egy nem biztonságos dinamikus frissítést próbálnak végrehajtani. A nem biztonságos frissítés visszautasítása esetén az ügyfelek megpróbálnak biztonságos frissítést alkalmazni.

    Az ügyfelek egy olyan alapértelmezett frissítési irányelvet használnak, amely megakadályozza, hogy azok az előzőleg regisztrált erőforrásrekordokat felülírják, hacsak a frissítés biztonsági beállításai által ez nem tiltott.

  • Miután egy zóna integrálódik az Active Directory tartományi szolgáltatásokkal, a Windows Server® 2008 rendszert futtató DNS-kiszolgálókon alapértelmezés szerint csak a biztonságos dinamikus frissítések lesznek engedélyezve.

    Ha szabványos zónatárhelyet használ, a DNS-kiszolgáló szolgáltatás alapértelmezett beállítása szerint nem engedélyezi a zónái dinamikus frissítését. A címtárba integrált vagy a szabványos fájlalapú tárolást használó zónákat be lehet úgy állítani, hogy minden dinamikus frissítést engedélyezzenek, amely az összes frissítés elfogadását jelenti.


Tartalom