Met Windows Server 2008 kunnen via een DHCP-server dynamische updates in de DNS-naamruimte worden ingeschakeld voor alle clients die deze updates ondersteunen. Het dynamische DNS-updateprotocol kan voor scopeclients worden gebruikt om de hostinformatie voor naam-naar-adrestoewijzingen bij te werken wanneer wijzigingen worden aangebracht in het toegewezen DHCP-adres. (Deze toewijzingsinformatie wordt opgeslagen in zones op de DNS-server). Via een DHCP-server met Windows Server 2008 kunnen updates worden uitgevoerd voor de DHCP-clients naar DNS-servers.

De werking van de interactie van DHCP/DNS-updates

Met de DHCP-server kunt u de PTR- en A-bronrecords registreren en bijwerken voor de DHCP-clients van de server. Wanneer u dit doet, moet u een extra DHCP-optie gebruiken, namelijk de client-FQDN-optie (optie 81). Met deze optie kan via de client de bijbehorende FQDN worden verzonden naar de DHCP-server in het DHCPREQUEST-pakket. Hierdoor kan de DHCP-server op de hoogte worden gesteld van het benodigde serviceniveau van de client.

De FQDN-optie bevat de volgende zes velden:

  1. Code: hiermee wordt de code voor deze optie opgegeven (81).

  2. Len: hiermee wordt de lengte van deze optie opgegeven. (Dit is minimaal 4).

  3. Flags: hiermee wordt het type service opgegeven.

    • 0: de client registreert de A-record (Host).

    • 1: DHCP moet de A-record (Host) registreren voor de client.

    • 3: DHCP registreert de A-record (Host), ongeacht de aanvraag van de client.

  4. RCODE1: hiermee wordt een reactiecode opgegeven die de server naar de client verzendt.

  5. RCODE2: hiermee wordt RCODE1 uitgebreider opgegeven.

  6. Domeinnaam: hiermee wordt de FQDN van de client opgegeven.

Als de registratie van de bronrecords bij DNS wordt aangevraagd via de client, is de client verantwoordelijk voor het genereren van de dynamische UPDATE-aanvraag per RFC (Request for Comments) 2136. De PTR-record (pointer) wordt vervolgens geregistreerd via de DHCP-server.

Ga ervan uit dat deze optie wordt opgegeven op een gekwalificeerde DHCP-client, zoals een DHCP-computer waarop Windows Vista, Windows 2000 of Windows XP wordt uitgevoerd. In dit geval wordt de optie verwerkt en geïnterpreteerd door DHCP-servers met Windows Server 2008 om te bepalen hoe updates voor de client via de server worden gestart.

Dynamische updates beveiligen

Voor Windows Server 2008 is DNS-updatebeveiliging alleen beschikbaar voor zones die in Active Directory zijn geïntegreerd. Nadat u een zone hebt geïntegreerd, kunt u de ACL-bewerkingsfuncties (Access Control List, toegangsbeheerlijst) in de DNS-module gebruiken om gebruikers of groepen toe te voegen aan of te verwijderen uit de ACL van een bepaalde zone of bronrecord.

Dynamische updatebeveiliging voor DNS-servers en -clients met Windows Server 2008 wordt standaard als volgt verwerkt:

  1. DNS-clients met Windows Server 2008 proberen eerst niet-beveiligde dynamische updates uit te voeren. Als deze worden geweigerd, proberen clients een beveiligde update te gebruiken.

    Daarnaast hanteren clients een standaardupdatebeleid. Op grond van dit beleid kan via deze clients een eerder geregistreerde bronrecord worden overschreven, tenzij dit wordt verhinderd door updatebeveiliging.

  2. Nadat een zone in Active Directory is geïntegreerd, staan DNS-servers met Windows Server 2008 alleen nog beveiligde dynamische updates toe.

    Wanneer u standaardzoneopslag gebruikt, staat de DNS Server-service standaard niet toe dat er dynamische updates worden uitgevoerd op zones. Bij zones die in AD DS zijn geïntegreerd of die gebruik maken van op bestanden gebaseerde standaardopslag kunt u de zone wijzigen, zodat alle dynamische updates worden toegestaan. Hierdoor worden alle updates geaccepteerd door het gebruik van beveiligde updates door te geven.

Als u meerdere DHCP-servers met Windows Server 2008 in het netwerk gebruikt en u alleen beveiligde dynamische updates inschakelt voor de zones, gebruikt u de module Active Directory - gebruikers en computers om de DHCP-servercomputers toe te voegen aan de geïntegreerde groep DnsUpdateProxy. Wanneer u dit doet, beschikken alle DHCP-servers over de beveiligde rechten voor het uitvoeren van proxy-updates voor alle DHCP-clients.

Waarschuwing
  • De functionaliteit voor beveiligde dynamische updates kan onveilig worden als de volgende voorwaarden van toepassing zijn:
  • •U gebruikt een DHCP-server op een domeincontroller met Windows Server 2008.
  • •De DHCP-server is geconfigureerd voor het uitvoeren van de registratie van DNS-records voor de clients.
  • Ter voorkoming van dit probleem kunt u DHCP-servers en domeincontrollers op verschillende computers implementeren of de DHCP-server zo configureren dat een toegewezen gebruikersaccount wordt gebruikt voor dynamische updates.
Opmerking

  De functionaliteit voor beveiligde dynamische updates wordt alleen ondersteund voor zones die met Active Directory zijn geïntegreerd. Als u een ander zonetype configureert, wijzigt u het zonetype en integreert u de zone voordat u deze beveiligt voor DNS-updates. Dynamische update is een uitbreiding van de RFC-compatibele DNS-standaard. Het DNS-updateproces is gedefinieerd in RFC 2136, 'Dynamic Updates in the Domain Name System (DNS UPDATE)'.

Aanvullende bronnen

Zie Aanbevolen taken voor de DHCP-serverfunctie voor een lijst met Help-onderwerpen waarin u meer informatie kunt vinden.

Raadpleeg de Windows Server 2008-documentatie op de website van Microsoft TechNet voor actuele en gedetailleerde informatie voor IT-professionals over DHCP (pagina is mogelijk Engelstalig).


Inhoudsopgave