Aktualizacje dynamiczne pozwalają komputerom klienckim w systemie DNS na rejestrowanie i dynamiczne aktualizowanie ich rekordów zasobów przy użyciu serwera DNS za każdym razem, kiedy nastąpią jakieś zmiany. Takie rozwiązanie zmniejsza potrzebę ręcznego administrowania rekordami strefy, szczególnie w przypadku klientów, którzy często zmieniają lokalizację, a do uzyskiwania adresu IP używają protokołu dynamicznej konfiguracji hosta (DHCP, Dynamic Host Configuration Protocol).
Usługi klienta i serwera DNS obsługują stosowanie aktualizacji dynamicznych, zgodnie ze specyfikacją RFC 2136 dotyczącą aktualizacji dynamicznych w systemie DNS. Usługa serwera DNS pozwala na włączanie i wyłączanie aktualizacji dynamicznych dla poszczególnych stref na serwerach, których konfiguracja uwzględnia ładowanie standardowej strefy podstawowej lub strefy zintegrowanej z usługą katalogową. Domyślnie usługa klienta DNS aktualizuje dynamicznie rekordy zasobów hosta (A) w systemie DNS, jeśli jest skonfigurowana do korzystania z protokołu TCP/IP.
Jak komputery klienckie i serwery aktualizują swoje nazwy DNS
Domyślnie komputery skonfigurowane statycznie do korzystania z protokołu TCP/IP próbują dynamicznie rejestrować rekordy zasobów hosta (A) i wskaźnika (PTR) dla adresów IP skonfigurowanych i używanych przez zainstalowane połączenia sieciowe. Wszystkie komputery domyślnie rejestrują rekordy na podstawie swojej w pełni kwalifikowanej nazwy domeny (FQDN).
Podstawowa pełna nazwa komputera, czyli nazwa FQDN, jest oparta na sufiksie podstawowej domeny DNS komputera, który jest dołączony do nazwy komputera.
Uwagi dodatkowe:
-
Domyślnie klient DNS nie próbuje wykonywać dynamicznej aktualizacji stref domen najwyższego poziomu. Każda strefa mająca nazwę z jedną etykietą jest uznawana za strefę domeny najwyższego poziomu, na przykład com, edu, blank, moja-firma. Aby konfiguracja klienta DNS umożliwiała dynamiczną aktualizację stref domen najwyższego poziomu, można użyć ustawienia zasad Aktualizuj strefy domen najwyższego poziomu lub zmodyfikować rejestr.
-
Sufiks podstawowej domeny DNS będący częścią nazwy FQDN komputera jest domyślnie taki sam jak nazwa domeny Usług domenowych w usłudze Active Directory (AD DS, Active Directory Domain Services), do której komputer został przyłączony. Aby umożliwić stosowanie różnych sufiksów podstawowej domeny DNS, administrator domeny może utworzyć ograniczoną listę dozwolonych sufiksów, modyfikując atrybut msDS-AllowedDNSSuffixes w kontenerze obiektu domeny. Ten atrybut jest zarządzany przez administratora domeny przy użyciu interfejsu ADSI (Active Directory Service Interfaces) lub protokołu LDAP.
Aktualizacje dynamiczne mogą być wysyłane w przypadku wystąpienia jednego z następujących powodów lub zdarzeń:
-
Dodanie, usunięcie lub modyfikacja adresu IP w konfiguracji właściwości protokołu TCP/IP dla dowolnego z zainstalowanych połączeń sieciowych.
-
Zmiana lub odnowienie dzierżawy adresu IP za pomocą serwera DHCP dla dowolnego z zainstalowanych połączeń sieciowych. Przykładem może być uruchomienie komputera lub użycie polecenia ipconfig /renew.
-
Polecenie ipconfig /registerdns jest używane do ręcznego wymuszenia odświeżenia rejestracji nazwy klienta w systemie DNS.
-
Podczas uruchamiania, kiedy komputer jest włączany.
-
Poziom serwera członkowskiego został podwyższony do poziomu kontrolera domeny.
Kiedy jedno z powyższych zdarzeń wyzwala aktualizację dynamiczną, aktualizacje są wysyłane przez usługę klienta DHCP (a nie usługę klienta DNS). Dzięki temu w przypadku, gdy zmiana informacji o adresie IP następuje przy użyciu protokołu DHCP, w systemie DNS są wykonywane odpowiednie aktualizacje w celu synchronizacji mapowań nazwa-adres dla komputera. Usługa klienta DHCP wykonuje tę funkcję dla wszystkich połączeń sieciowych w systemie (także dla połączeń, które nie zostały skonfigurowane do używania protokołu DHCP).
Przykład: sposób działania aktualizacji dynamicznej
Żądania dotyczące aktualizacji dynamicznych są zazwyczaj zgłaszane podczas zmiany nazwy DNS lub adresu IP na komputerze. Załóżmy na przykład, że klient o nazwie staryhost został skonfigurowany w oknie dialogowym Właściwości systemu przy użyciu podanych niżej nazw.
|
Nazwa komputera |
staryhost |
|
Nazwa domeny DNS komputera |
tailspintoys.com |
|
Pełna nazwa komputera |
staryhost.tailspintoys.com |
W tym przykładzie dla komputera nie są konfigurowane żadne nazwy domen DNS specyficzne dla połączeń. Następnie nazwa komputera jest zmieniana ze staryhost na nowyhost, co powoduje poniższe zmiany nazw w systemie.
|
Nazwa komputera |
nowyhost |
|
Nazwa domeny DNS komputera |
tailspintoys.com |
|
Pełna nazwa komputera |
nowyhost.tailspintoys.com |
Po zastosowaniu zmiany nazwy w oknie dialogowym Właściwości systemu pojawia się monit o ponowne uruchomienie komputera. Po ponownym uruchomieniu systemu Windows na komputerze usługa klienta DHCP wykonuje następującą sekwencję czynności, aby zaktualizować usługę DNS:
-
Usługa klienta DHCP wysyła zapytanie SOA (adres startowy uwierzytelniania), używając nazwy domeny DNS komputera.
Jako nazwy określonej w tym zapytaniu komputer kliencki używa obecnie skonfigurowanej nazwy FQDN komputera (na przykład nowyhost.tailspintoys.com).
-
Autorytatywny serwer DNS strefy zawierającej nazwę FQDN klienta odpowiada na zapytanie SOA.
W standardowych strefach podstawowych adres serwera podstawowego (właściciela) zwrócony w odpowiedzi na zapytanie SOA jest ustalony i statyczny. Jest on zawsze zgodny z dokładną nazwą DNS, jaka znajduje się w rekordzie zasobu SOA przechowywanym w strefie. Jeśli jednak aktualizowana strefa jest zintegrowana z usługą katalogową, każdy serwer DNS ładujący strefę może odpowiedzieć na zapytanie SOA i dynamicznie wstawić w odpowiedzi własną nazwę jako nazwę serwera podstawowego (właściciela) strefy.
-
Usługa klienta DHCP próbuje następnie skontaktować się z podstawowym serwerem DNS.
Klient przetwarza odpowiedź na zapytanie SOA dotyczące jego nazwy, aby ustalić adres IP serwera DNS, który jest autoryzowany jako serwer podstawowy do zaakceptowania jego nazwy. Następnie wykonuje poniższą sekwencję czynności w celu skontaktowania się ze swoim serwerem podstawowym i wykonania jego dynamicznej aktualizacji:
-
Wysyła żądanie aktualizacji dynamicznej do serwera podstawowego określonego w odpowiedzi na zapytanie SOA.
Jeśli aktualizacja powiedzie się, nie są podejmowane żadne dalsze czynności.
-
Jeśli aktualizacja nie powiedzie się, klient wysyła zapytanie typu NS (serwer nazw), dotyczące nazwy strefy określonej w rekordzie SOA.
-
Kiedy odbierze odpowiedź na to zapytanie, wysyła zapytanie SOA do pierwszego serwera DNS podanego w odpowiedzi.
-
Gdy zostaną zwrócone wyniki rozpoznawania dla zapytania SOA, klient wysyła aktualizację dynamiczną do serwera podanego w zwróconym rekordzie SOA.
Jeśli aktualizacja się powiedzie, nie są podejmowane żadne dalsze działania.
-
Jeśli aktualizacja nie powiedzie się, klient powtarza zapytanie SOA, wysyłając je do następnego serwera DNS wymienionego w odpowiedzi.
-
Wysyła żądanie aktualizacji dynamicznej do serwera podstawowego określonego w odpowiedzi na zapytanie SOA.
-
Po nawiązaniu kontaktu z serwerem podstawowym, który może wykonać aktualizację, klient wysyła żądanie aktualizacji, a serwer je przetwarza.
Zawartość żądania aktualizacji obejmuje instrukcje dodania rekordu zasobu hosta (A) oraz (opcjonalnie) rekordu zasobu wskaźnika (PTR) dla nazwy nowyhost.tailspintoys.com i usunięcia rekordów tego samego typu dla nazwy staryhost.tailspintoys.com, czyli nazwy zarejestrowanej poprzednio.
Serwer sprawdza też, czy aktualizacje są dozwolone dla żądania klienta. W standardowych strefach podstawowych aktualizacje dynamiczne nie są zabezpieczane, dlatego każda próba aktualizacji zgłoszona przez klienta kończy się pomyślnie. W strefach zintegrowanych z usługami AD DS aktualizacje są zabezpieczane i wykonywane przy użyciu ustawień zabezpieczeń opartych na usłudze katalogowej.
Aktualizacje dynamiczne są wysyłane lub odświeżane okresowo. Domyślnie komputery wysyłają odświeżone informacje co 7 dni. Jeśli aktualizacja nie powoduje żadnych zmian w danych strefy, zachowywana jest bieżąca wersja strefy i żadne zmiany nie są zapisywane. Aktualizacje powodują zmiany strefy lub zwiększenie poziomu transferu dla strefy tylko wtedy, gdy nastąpiła zmiana nazw lub adresów.
Gdy usługa klienta DHCP rejestruje rekordy zasobów hosta (A) i wskaźnika (PTR) dla komputera, jako domyślnego czasu buforowania dla rekordów hosta używa czasu wygaśnięcia (TTL) o wartości 15 minut. Ta wartość określa, jak długo inne serwery i klienci DNS przechowują w pamięci podręcznej rekordy komputera, które zostały umieszczone w odpowiedzi na zapytanie.
Zabezpieczanie aktualizacji dynamicznej
Zabezpieczenia aktualizacji w systemie DNS są dostępne tylko w strefach zintegrowanych z usługami AD DS. Po zintegrowaniu strefy z usługą katalogową w Menedżerze DNS są dostępne funkcje edycji listy kontroli dostępu (ACL), co umożliwia dodawanie lub usuwanie użytkowników lub grup na liście ACL dla określonej strefy lub rekordu zasobu.
Domyślnie zabezpieczenia aktualizacji dynamicznych serwerów i klientów DNS mogą być realizowane w następujący sposób:
-
Klienci DNS próbują najpierw korzystać z niezabezpieczonych aktualizacji dynamicznych. W przypadku odmowy aktualizacji niezabezpieczonej klienci próbują użyć aktualizacji zabezpieczonej.
Klienci korzystają również z domyślnej zasady aktualizacji, zezwalającej na podjęcie próby zastąpienia zarejestrowanego wcześniej rekordu zasobu, chyba że jest to blokowane przez zabezpieczenia aktualizacji.
-
Po zintegrowaniu strefy z usługami AD DS serwery DNS działające na komputerach z systemem Windows Server® 2008 przyjmują ustawienia domyślne, zezwalające na stosowanie tylko zabezpieczonych aktualizacji dynamicznych.
Gdy jest używany standardowy magazyn strefy, usługa serwera DNS domyślnie nie zezwala na aktualizacje dynamiczne swoich stref. W przypadku stref zintegrowanych z usługą katalogową lub korzystających ze standardowego magazynu opartego na plikach można zmienić strefę tak, aby umożliwić akceptowanie wszystkich aktualizacji dynamicznych.