Компьютеры, являющиеся DNS-клиентами, могут использовать динамические обновления для регистрации и обновления собственных записей ресурсов на DNS-сервере при возникновении изменений. Это уменьшает необходимость в ручном администрировании записей зоны, особенно для клиентов, которые часто изменяют свое местоположение и используют протокол DHCP для получения IP-адреса.
Службы DNS-клиента и DNS-сервера поддерживают использование динамических обновлений, как описано в документе RFC 2136, посвященном динамическим обновлениям в DNS. Служба DNS-сервера допускает включение или отключение динамических обновлений для каждой зоны на сервере, настроенном для загрузки стандартной основной зоны или зоны, интегрированной в службу каталогов. По умолчанию служба DNS-клиента автоматически обновляет записи ресурсов узла (A) в DNS при настройке службы для работы с протоколом TCP/IP.
Способ обновления клиентским компьютером и сервером своих DNS-имен
По умолчанию компьютеры, имеющие статические настройки TCP/IP, пытаются динамически зарегистрировать записи ресурсов узла (A) и указателя (PTR) для IP-адресов, настроенных и используемых установленными сетевыми подключениями. По умолчанию все компьютеры регистрируют записи, основываясь на полных доменных именах.
Полное доменное имя состоит из основного DNS-суффикса компьютера, присоединенного к имени компьютера.
Дополнительные сведения
-
По умолчанию DNS-клиент не предпринимает попыток динамического обновления зон доменов верхнего уровня. Любая зона, имя которой состоит из одного DNS-имени, считается зоной домена верхнего уровня, например: com, edu, blank, my-company. Чтобы настроить DNS-клиент для разрешения динамического обновления зон доменов верхнего уровня, можно использовать параметр политики Обновлять зоны доменов верхнего уровня или изменить реестр.
-
По умолчанию основной DNS-суффикс полного доменного имени компьютера должен совпадать с именем домена доменных служб Active Directory, в котором находится компьютер. Чтобы разрешить другие основные DNS-суффиксы, администратор домена может составить ограниченный список разрешенных суффиксов, изменив атрибут msDS-AllowedDNSSuffixes в контейнере объекта домена. Этот атрибут управляется администратором домена с помощью интерфейсов ADSI или протокола LDAP.
Динамические обновления могут быть отправлены по любой из указанных ниже причин:
-
IP-адрес был добавлен, удален или изменен в свойствах настройки TCP/IP для одного из установленных сетевых подключений.
-
Изменилась или обновилась аренда IP-адреса с DHCP-сервера на одном из установленных сетевых подключений. Например, это может произойти при запуске компьютера или при использовании команды ipconfig /renew.
-
Команда ipconfig /registerdns используется для ручного принудительного обновления регистрации клиентского имени в DNS.
-
Компьютер был включен.
-
Роль рядового сервера была обновлена до контроллера домена.
Если одно из предыдущих событий вызвало динамическое обновление, служба DHCP-клиента (не служба DNS-клиента) отправляет обновления. Это происходит с той целью, чтобы при изменении IP-адреса из-за DHCP были выполнены соответствующие обновления в DNS для синхронизации сопоставления имени и адреса определенного компьютера. Служба DHCP-клиента выполняет эту функцию для всех сетевых подключений в системе, включая подключения, которые не настроены для использования DHCP.
Пример. Функционирование динамических обновлений
Как правило, динамические обновления требуются, если меняется DNS-имя или IP-адрес компьютера. Предположим, что клиент oldhost изначально был настроен в окне Свойства системы для использования указанных ниже имен.
Имя компьютера |
oldhost |
DNS-имя домена этого компьютера |
tailspintoys.com |
Полное имя компьютера |
oldhost.tailspintoys.com |
В этом примере для компьютера не настроены DNS-имена домена подключения. Затем компьютер переименовали в newhost, что привело к указанным изменениям имен в системе.
Имя компьютера |
newhost |
DNS-имя домена этого компьютера |
tailspintoys.com |
Полное имя компьютера |
newhost.tailspintoys.com |
После изменения имени в окне Свойства системы появится запрос на перезагрузку компьютера. После повторного запуска Windows служба DHCP-клиента выполняет следующую последовательность обновления DNS:
-
Служба DHCP-клиента отправляет SOA-запрос, используя в нем DNS-имя домена компьютера.
Клиентский компьютер использует текущее полное доменное имя компьютера (такое как newhost.tailspintoys.com) в качестве имени, указанном в этом запросе.
-
Полномочный DNS-сервер для зоны, содержащий полное доменное имя клиента, отвечает на SOA-запрос.
Для стандартных основных зон главный сервер (владелец), возвращенный в ответе на SOA-запрос, является фиксированным и статическим. Он всегда совпадает с точным DNS-именем, отображенным в начальной записи зоны, которая хранится в зоне. Однако если обновляемая зона интегрирована в службу каталогов, может ответить любой DNS-сервер, загружающий зону, и динамически вставить в ответ на SOA-запрос собственное имя в качестве главного сервера (владельца) зоны.
-
Затем служба DHCP-клиента пытается связаться с основным DNS-сервером.
Клиент обрабатывает ответ на запрос начальной записи ресурса, чтобы определить IP-адрес DNS-сервера, который имеет полномочия главного сервера для получения имени клиента. Затем он выполняет указанную ниже последовательность действий для связи с главным сервером и выполнения динамического обновления:
-
Он отправляет запрос о динамическом обновлении на главный сервер, который был определен в ответе на SOA-запрос.
Если обновление проходит успешно, дальнейших действий не требуется.
-
Если обновление завершается неудачно, клиент отправляет NS-запрос для имени зоны, которое было указано в начальной записи зоны.
-
При получении ответа на этот запрос клиент отправляет SOA-запрос на первый DNS-сервер, указанный в ответе.
-
После разрешения SOA-запроса клиент отправляет динамическое обновление на сервер, указанный в возвращенной начальной записи зоны.
Если обновление проходит успешно, дальнейших действий не требуется.
-
Если обновление завершается неудачно, клиент повторяет процесс отправки SOA-запроса на следующий DNS-сервер, указанный в ответе.
-
Он отправляет запрос о динамическом обновлении на главный сервер, который был определен в ответе на SOA-запрос.
-
После установки связи с главным сервером, который может выполнить обновление, клиент отправляет запрос на обновление, а сервер обрабатывает этот запрос.
Содержимое запроса на обновление включает инструкции на добавление записей ресурсов узла (A) и, возможно, указателя для newhost.tailspintoys.com и на удаление этих же типов записей для имени oldhost.tailspintoys.com, то есть для предыдущего зарегистрированного имени.
Сервер также проверяет, разрешены ли обновления по запросу клиента. В стандартных основных зонах динамические обновления не являются безопасными, поэтому любая клиентская попытка обновления завершается успешно. В зонах, интегрированных в доменные службы Active Directory, обновления являются безопасными и выполняются с использованием параметров безопасности службы каталогов.
Динамические обновления периодически отправляются или обновляются. По умолчанию компьютеры отправляют обновление каждые семь дней. Если обновление не приведет к изменению данных зоны, версия зоны не изменяется. Только если адреса или имена действительно изменятся, обновления приведут к фактическому изменению зоны и увеличению передачи зоны.
При регистрации службой DHCP-клиента записей ресурсов узла (A) и указателя (PTR) для компьютера эта служба использует срок жизни в кэше для записей узлов, по умолчанию равное 15 минутам. Этот параметр определяет, как долго другие DNS-серверы и клиенты смогут хранить в кэше записи компьютеров при включении этих записей в ответ на запрос.
Безопасные динамические обновления
Безопасное обновление DNS доступно только для зон, интегрированных в доменные службы Active Directory. При интеграции зоны в Active Directory в диспетчере DNS становятся доступными функции изменения списка управления доступом, так что можно добавлять пользователей и группы в список для определенной зоны или записи ресурса или удалять их из него.
По умолчанию безопасность динамических обновлений для DNS-серверов и клиентов может обрабатываться следующим образом:
-
DNS-клиенты сначала пытаются использовать небезопасное динамическое обновление. Если небезопасное динамическое обновление отвергается, клиенты пытаются использовать безопасное обновление.
Также клиенты используют политику обновления по умолчанию, которая разрешает перезаписывать предыдущую зарегистрированную запись ресурса, если только эти клиенты не были заблокированы при помощи политики безопасности обновления.
-
После интеграции зоны в доменные службы Active Directory DNS-серверы, работающие под управлением Windows Server® 2008, могут по умолчанию использовать только безопасные динамические обновления.
При использовании стандартного хранилища зоны значением по умолчанию для службы DNS-сервера является разрешение динамических обновлений для зон. Для зон, интегрированных в службу каталогов или использующих хранилище на основе файла, можно изменить зону, чтобы разрешить все динамические обновления, что разрешит прием всех обновлений.