В Windows Server 2008 DHCP-сервер может выполнять динамические обновления в пространстве имен DNS в отношении любого из своих клиентов, поддерживающих такие обновления. С помощью протокола динамического обновления DNS входящие в область клиенты могут обновлять сведения о сопоставлении имен и адресов своих серверов при изменении адресов, назначаемых для них DHCP-сервером. (Сведения о сопоставлении хранятся в определенных зонах на данном DNS-сервере.) DHCP-сервер на базе Windows Server 2008 может выполнять обновления в отношении любого DNS-сервера по запросу от своих DHCP-клиентов.

Принцип взаимодействия при обновлении DHCP/DNS

DHCP-сервер можно использовать для регистрации и обновления записей PTR-ресурсов и A-ресурсов по запросу от DHCP-клиентов этого сервера. При выполнении этой операции необходимо использовать дополнительный параметр DHCP - параметр полного доменного имени клиента (параметр 81). Этот параметр управляет возможностью отправки клиентом своего полного доменного имени DHCP-серверу в пакете DHCPREQUEST. В результате клиент получает возможность уведомить DHCP-сервер о требуемом для него уровне обслуживания.

Параметр полного доменного имени содержит следующие шесть полей:

  1. «Код». Код параметра (81).

  2. Len. Длина строки параметра. Эта длина должна быть не менее 4 знаков.

  3. «Флаги». Тип обслуживания.

    • 0 - клиент регистрирует запись типа «A» (сервер).

    • 1 - клиент запрашивает регистрацию записи типа «A» (сервер) DHCP-сервером.

    • 3 - DHCP-сервер регистрирует запись типа «A» (сервер) независимо от запроса клиента.

  4. RCODE1. Код ответа, направляемого сервером клиенту.

  5. RCODE2. Дополнительное определение параметра RCODE1.

  6. «Имя домена». Полное доменное имя клиента.

Если клиент запрашивает регистрацию записей ресурса в DNS, на этого клиента возлагается создание динамического запроса UPDATE в соответствии с RFC 2136. Затем DHCP-сервер регистрирует свою PTR-запись.

Предположим, что значение этого параметра определяется квалифицированным DHCP-клиентом, например компьютером с поддержкой DHCP, который работает под управлением Windows Vista, Windows 2000 или Windows XP. В этом случае данный параметр обрабатывается и воспринимается DHCP-серверами на основе Windows Server 2008 с целью определить порядок инициирования этим сервером обновлений от имени клиента.

Безопасные динамические обновления

В Windows Server 2008 безопасность обновления DNS доступна только для зон, интегрированных в каталог Active Directory. После интегрирования зоны становится доступной возможность добавлять пользователей или группы пользователей в списки управления доступом (ACL) либо удалять их оттуда в отношении конкретной зоны или записи ресурса с помощью средств редактирования списков ACL, доступных в оснастке DNS.

По умолчанию безопасность динамического обновления для DNS-серверов и клиентов на основе Windows Server 2008 обеспечивается следующим образом:

  1. DNS-клиенты на основе Windows Server 2008 сначала предпринимают попытку использовать небезопасные динамические обновления. Если в выполнении небезопасного обновления отказано, клиенты пытаются использовать безопасное обновление.

    Помимо этого клиенты используют стандартную политику обновления, которая позволяет им попробовать переписать ранее зарегистрированную запись ресурса, если они не заблокированы специально системой безопасности при обновлении.

  2. По умолчанию после интеграции зоны в каталог Active Directory в DNS-серверах на основе Windows Server 2008 включены только безопасные динамические обновления.

    По умолчанию при использовании стандартного хранилища зон служба DNS-сервера не включает динамическое обновление для своих зон. Если зоны интегрированы в каталог или используется стандартное файловое хранилище, можно изменить зону таким образом, чтобы включить все динамические обновления. В результате все обновления будут приниматься путем передачи использования безопасных обновлений.

Если в сети используется несколько DHCP-серверов на основе Windows Server 2008 и зоны настроены таким образом, чтобы действовали только безопасные обновления, для добавления DHCP-серверов во встроенную группу DnsUpdateProxy используется оснастка «Active Directory - пользователи и компьютеры». В результате все DHCP-серверы обладают соответствующими правами безопасности для выполнения прокси-обновлений любого из DHCP-клиентов.

Внимание!
  • Функциональность безопасных динамических обновлений может оказаться недостаточной при соблюдении следующих условий:
  • •DHCP-сервер выполняется на контролере домена на основе Windows Server 2008.
  • •DHCP-сервер настроен таким образом, чтобы выполнять регистрацию DNS-записей по поручению своих клиентов.
  • Чтобы избежать этой проблемы, следует развертывать DHCP-серверы и контроллеры доменов на разных компьютерах или настроить DHCP-сервер таким образом, чтобы использовать для динамических обновлений выделенную учетную запись пользователя.
Примечание

Функциональность безопасных динамических обновлений поддерживается только для зон, интегрированных в каталог Active Directory. Если для зоны указан другой тип, перед внедрением системы безопасности для обновлений DNS измените тип зоны, а затем интегрируйте эту зону в каталог. Динамическое обновление является расширением стандарта DNS в соответствии с RFC. Процесс обновления DNS описан в RFC 2136 «Динамические обновления в системе доменных имен (DNS UPDATE)».

Дополнительные ресурсы

Список разделов справки, содержащих связанные с данным разделом сведения, см. в статье Рекомендованные задачи для роли DCHP-сервера.

Обновленные профессиональные сведения о DHCP см. в документации Windows Server 2008 на веб-сайте Microsoft TechNet (на английском языке).


Содержание