使用 Windows Server 2008,DHCP 服务器可以为任一客户端启用 DNS 命名空间中的动态更新,只要这些客户端支持这些更新。作用域客户端可以使用 DNS 动态更新协议,在其 DHCP 分配的地址发生变更时,随时更新其主机名称到地址的映射信息。(这些映射信息存储在 DNS 服务器上的区域中。)基于 Windows Server 2008 的 DHCP 服务器可以代表其 DHCP 客户端向任何 DNS 服务器执行更新。
DHCP/DNS 更新交互的工作方式
您可以使用 DHCP 服务器代表该服务器已启用 DHCP 的客户端,注册和更新 PTR 和 A 资源记录。执行这一操作时,您必须使用一个附加 DHCP 选项,即客户端 FQDN 选项(选项 81)。此选项允许客户端以 DHCPREQUEST 数据包形式向 DHCP 服务器发送其 FQDN。这可以使客户端通知 DHCP 服务器其所需的服务级别。
FQDN 选项包括下列六个字段:
-
代码 -- 指定此选项的代码 (81)。
-
长度 -- 指定此选项的长度。(最小值必须为 4。)
-
标志 -- 指定服务的类型。
-
0 -- 客户端将注册“A”(主机)记录。
-
1 -- 客户端希望 DHCP 注册“A”(主机)记录。
-
3 -- DHCP 将注册“A”(主机)记录(无论客户端的请求如何)。
-
0 -- 客户端将注册“A”(主机)记录。
-
RCODE1 -- 指定服务器发送到客户端的响应代码。
-
RCODE2 -- 指定 RCODE1 的附加描述。
-
域名 -- 指定客户端的 FQDN。
如果客户端请求在 DNS 中注册其资源记录,则客户端将负责按照征求意见文档 (RFC) 2136 生成动态 UPDATE 请求。然后,DHCP 服务器注册其 PTR(指针)记录。
假定此选项由具备资格的 DHCP 客户端(例如启用了 DHCP 并且正在运行 Windows Vista Windows 2000 或 Windows XP 的计算机)发出。在这种情况下,将由基于 Windows Server 2008 的 DHCP 服务器处理和解释该选项,以确定服务器如何代表客户端启动更新。
安全动态更新
对于 Windows Server 2008,只有已集成到 Active Directory 中的区域,才可以使用 DNS 更新安全。集成区域之后,您可以使用访问控制列表 (ACL) 的编辑功能(在 DNS 管理单元中可用)在特定区域或资源记录的 ACL 中添加或删除用户或组。
默认情况下,按下列方式处理基于 Windows Server 2008 的 DNS 服务器和客户端的动态更新安全:
-
基于 Windows Server 2008 的 DNS 客户端首先尝试使用非安全动态更新。如果非安全更新被拒绝,客户端将尝试使用安全更新。
客户端还使用默认的更新策略,该策略允许客户端尝试覆盖先前注册的资源记录(如果更新安全功能未特意阻止这些客户端)。
-
默认情况下,当区域被集成到 Active Directory 之后,基于 Windows Server 2008 的 DNS 服务器将只启用安全动态更新。
默认情况下,当您使用标准区域存储时,DNS 服务器服务在其区域上不启用动态更新。对于集成到目录的区域或使用基于标准文件的存储的区域,您可以更改此区域以启用全部动态更新。通过传递安全更新的使用,可以使所有更新都能被接受。
如果在网络上使用多个基于 Windows Server 2008 的 DHCP 服务器,或者将区域配置为只启用安全动态更新,则请使用“Active Directory 用户和计算机”管理单元将 DHCP 服务器计算机添加到内置的 DnsUpdateProxy 组。执行此操作时,所有的 DHCP 服务器将具有为任何 DHCP 客户端执行代理更新的安全权限。
小心 | |
|
注意 | |
仅对集成到 Active Directory 的区域支持安全动态更新功能。如果您配置另一个区域类型,请更改此区域类型,再集成该区域,然后为其配置 DNS 安全更新。动态更新是符合 RFC 的 DNS 标准的扩展。DNS 更新过程将在 RFC 2136“域名系统中的动态更新 (DNS UPDATE)”中定义。 |
其他资源
有关提供相关信息的帮助主题的列表,请参阅 DHCP 服务器角色的推荐任务。
有关 DHCP 的更新详细 IT 专业人员信息,请参阅位于