Con Windows Server 2008 un server DHCP può abilitare gli aggiornamenti dinamici nello spazio dei nomi DNS per uno qualsiasi dei client che supportano tali aggiornamenti. I client dell'ambito possono utilizzare il protocollo di aggiornamento dinamico DNS per aggiornare le informazioni relative al mapping nome-indirizzo dell'host in caso di modifiche all'indirizzo assegnato da DHCP. Le informazioni sul mapping sono archiviate in zone del server DNS. Un server DHCP basato su Windows Server 2008 può eseguire aggiornamenti su qualsiasi server DNS per conto dei relativi client DHCP.

Funzionamento dell'interazione tra aggiornamenti DHCP/DNS

È possibile utilizzare il server DHCP per registrare e aggiornare i record di risorse PTR e A per conto dei client DHCP del server. In tal caso è necessario utilizzare un'opzione DHCP aggiuntiva, ovvero quella relativa all'FQDN del client (opzione 81). Questa opzione consente al client di inviare il proprio FQDN al server DHCP nel pacchetto DHCPREQUEST. In questo modo il client può notificare al server DHCP informazioni in merito al livello di servizio richiesto.

L'opzione FQDN include i sei campi seguenti:

  1. Codice: specifica il codice relativo a questa opzione (81).

  2. Lunghezza: specifica la lunghezza di questa opzione. È necessario specificare almeno 4.

  3. Flag: specifica il tipo di servizio.

    • 0: il client registrerà il record "A" (Host).

    • 1: il client desidera che il record "A" (Host) venga registrato da DHCP.

    • 3: DHCP registrerà il record "A" (Host) indipendentemente dalla richiesta del client.

  4. RCODE1: specifica un codice di risposta che il server invia al client.

  5. RCODE2: specifica un'ulteriore descrizione di RCODE1.

  6. Nome dominio: specifica l'FQDN del client.

Se il client richiede di eseguire la registrazione dei record di risorse con DNS, dovrà generare la richiesta UPDATE dinamica secondo quanto previsto dalla Request for Comments (RFC) 2136. Il server DHCP registrerà quindi il relativo record PTR (puntatore).

Si presupponga che questa opzione sia stata inviata da un client DHCP qualificato, ad esempio un computer abilitato per DHCP che esegue Microsoft Windows Vista, Windows 2000 o Windows XP. In questo caso l'opzione verrà elaborata e interpretata da server DHCP basati su Windows Server 2008 per determinare in che modo il server inizializzerà gli aggiornamenti per conto del client.

Proteggere gli aggiornamenti dinamici

In Windows Server 2008 la sicurezza degli aggiornamenti DNS è disponibile solo per le zone integrate in Active Directory. Dopo aver integrato una zona, è possibile utilizzare le funzionalità di modifica degli elenchi di controllo di accesso disponibili nello snap-in DNS per aggiungere o rimuovere utenti o gruppi dall'elenco di controllo di accesso per una zona specifica o per un record di risorse.

Per impostazione predefinita, la sicurezza degli aggiornamenti dinamici per client e server DNS basati su Windows Server 2008 viene gestita nel modo seguente:

  1. I client DNS basati su Windows Server 2008 tentano di utilizzare prima gli aggiornamenti dinamici non sicuri. Se l'aggiornamento non sicuro viene rifiutato, i client tentano di utilizzare un aggiornamento sicuro.

    I client utilizzano inoltre criteri di aggiornamento predefiniti in base ai quali possono tentare di sovrascrivere un record di risorse registrato in precedenza a meno che non siano bloccati in modo specifico dalla sicurezza degli aggiornamenti.

  2. Per impostazione predefinita, dopo che una zona è diventata integrata in Active Directory, i server DNS basati su Windows Server 2008 consentono solo aggiornamenti dinamici sicuri.

    Per impostazione predefinita, quando si utilizza l'archiviazione standard delle zone, il servizio Server DNS non consente gli aggiornamenti dinamici nelle relative zone. Per le zone integrate in Active Directory o che utilizzano l'archiviazione standard basata su file, è possibile modificare la zona in modo da consentire tutti gli aggiornamenti dinamici. In tal modo, consentendo l'utilizzo di aggiornamenti sicuri, tutti gli aggiornamenti verranno accettati.

Se si utilizzano più server DHCP basati su Windows Server 2008 nella rete e si configurano le zone per consentire solo gli aggiornamenti dinamici sicuri, utilizzare lo snap-in Utenti e computer di Active Directory per aggiungere i computer server DHCP al gruppo DnsUpdateProxy predefinito. Tutti i server DHCP disporranno pertanto dei diritti di sicurezza per eseguire gli aggiornamenti del proxy per uno qualsiasi dei client DHCP.

Attenzione
  • La funzionalità degli aggiornamenti dinamici sicuri può risultare compromessa in presenza delle condizioni seguenti:
  • Si esegue un server DHCP in un controller di dominio basato su Windows Server 2008.
  • Il server DHCP è configurato in modo da eseguire la registrazione dei record DNS per conto dei relativi client.
  • Per evitare questo problema, distribuire i server DHCP e i controller di dominio in computer diversi oppure configurare il server DHCP in modo che utilizzi un account utente dedicato per gli aggiornamenti dinamici.
Nota

  La funzionalità degli aggiornamenti dinamici sicuri è supportata solo per le zone integrate in Active Directory. Se si configura un tipo di zona diverso, sarà necessario modificarlo e integrare la zona prima di poterla proteggere per gli aggiornamenti DNS. La funzionalità di aggiornamento dinamico è un'estensione dello standard DNS conforme a RFC. Il processo di aggiornamento in DNS è definito nel documento RFC 2136 relativo agli aggiornamenti dinamici in DNS (DNS UPDATE).

Risorse aggiuntive

Per un elenco degli argomenti della Guida in cui sono disponibili informazioni correlate, vedere Attività consigliate per il ruolo server DHCP.

Per informazioni aggiornate e dettagliate su DHCP destinate ai responsabili IT, vedere la documentazione relativa a Windows Server 2008 nel sito WebMicrosoft TechNet.

Argomenti della Guida