Динамические обновления DHCP регистраций DNS задерживаются или не обрабатываются

В этой статье обсуждается, что изменение поведения обновления системы доменных имен DHCP может задержать регистрацию DNS и поможет решить эту проблему.

Оригинальная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 3069564

Симптомы

Динамические обновления регистраций DNS, выполняемые сервером DHCP от имени компьютера с поддержкой DHCP, обрабатываются или не обрабатываются после выполнения службы DHCP некоторое время.

Кроме того, рядом с записью аренды в DHCP появляется значок пера фонтана. Этот значок указывает, что регистрация DNS является неполной.

По умолчанию сервер DHCP регистрирует записи PTR для динамических клиентов, осведомленных о обновлении. Записи PTR могут быть записями, которые не обновляются в DNS и вызывают сбой обратных просмотров DNS.

Причина

В версиях Windows Server, которые находятся раньше Windows Server 2008, сервер DHCP использует DNS-серверы, настроенные в свойствах TCP/IP сетевых подключений в качестве цели динамических обновлений.

Изменение поведения динамического обновления DHCP заставляет серверы DHCP в Windows Server 2008 и более поздних версиях выбирать DNS-сервер по следующим критериям в заданном порядке:

• Параметры Области
• Параметры сервера
• Конфигурация TCP/IP сетевых подключений

Предположим, что область настроена для параметров области DHCP и настройки DNS-серверов. В этой ситуации DNS-серверы, указанные в параметрах области, будут использоваться в качестве целевых DNS-серверов сервером DHCP для динамических обновлений для записей аренды из этой области.

Если DNS-серверы, указанные для области, не поддерживают динамические обновления, обновление не удается. Сервер DHCP несколько раз повторно регистрирует неудаваемую версию. В то же время другие динамические обновления помещаются в очередь для обработки. Поэтому ожидание обновлений задерживается, а регистрации не обрабатываются своевременно.

Решение

Чтобы предотвратить сбой обновлений и задержку ожидающих обновлений, укажите DNS-серверы, поддерживаюющие динамические обновления на соответствующем уровне.

Обходной путь

Чтобы переопредить поведение по умолчанию в Windows Server, используйте следующее значение реестра.

Этот метод работает только для областей IPv4. Это значение позволяет указать DNS-сервер, который следует использовать для динамических обновлений. Это переопределяет функциональность по умолчанию для всех областей и заставляет DHCP использовать только указанный DNS-сервер для всех динамических обновлений IPv4.

Дополнительные сведения

По крайней мере один администратор сообщил об успешном предотвращении задержки регистрации обновлений DNS, выбрав параметрЫ записей DNS A и PTR на сервере DHCP. Мы не считаем это действие жизнеспособным обходным путем и не определили, почему оно может быть эффективным. Однако эта информация может оказаться полезной.

Настройка DNS на компьютере с Windows

Для обеспечения безопасности и надежности интернет-соединения, а также для бесперебойного доступа к веб-сайтам, социальным сетям и онлайн-сервисам, можно использовать сторонние DNS-серверы, которые работают на первом рубеже доступа к сети Интернет.

Популярные DNS-серверы представлены на нашем сайте в разделе Безопасные DNS-сервисы. Чаще всего настройка DNS помогает эффективнее работать VPN и прокси, обеспечивая более высокий уровень защиты вашей конфиденциальности и анонимности.

Предлагаем вашему вниманию подробные инструкции, как настроить DNS на компьютере с операционными системами Windows 10, 8.1, 8, 7, Vista и XP.

Настройка DNS с помощью DNS Jumper

DNS Jumper – удобный портативный инструмент для быстрого переключения DNS на вашем компьютере. Утилита работает со следующими операционными системами: Windows 10, 8.1, 8, 7, Vista, XP и не требует дополнительных настроек в системе.

Запустите утилиту, выберите в списке DNS сервер предпочтительный сервер (например, Google Public DNS) и нажмите кнопку Применить DNS.

Настройка DNS с помощью YogaDNS

YogaDNS — это DNS клиент, который перехватывает DNS-запросы на системном уровне и позволяет обрабатывать их через определенные пользователем DNS-серверы с использованием заданных протоколов и гибких правил.

Настройка DNS в Windows 10, 8.1, 8

1. Чтобы открыть Центр управления сетями и общим доступом (также доступен в меню Панель управления > Сеть и Интернет), нажмите сочетание клавиш Windows + R и в окне «Выполнить» введите следующую команду и нажмите ОК:

2. В разделе Просмотр основных сведений о сети и настройка подключений, выберите пункт сеть для Подключения.

3. В открывшемся окне выберите пункт Свойства.

4. В окне свойств подключения в списке Отмеченные компоненты используются этим подключением выберите пункт IP версии 4 (TCP/IPv4) в Windows 10 или Протокол Интернета версии 4 (TCP/IP) и нажмите кнопку Свойства.

5. В открывшемся окне на вкладке Общие выберите пункт Использовать следующие адреса DNS-серверов.

6. Введите выбранные вами адреcа DNS, например Comss.one DNS или Google DNS, в поля Предпочитаемый DNS-cepвep и Альтернативный DNS-cepвep (в зависимости от выбранного сервиса поле может оставаться пустым).

7. Поставьте галочку для Подтвердить параметры при выходе и нажмите OK, чтобы сохранить изменения.

Обновите DNS-кэш следующим образом:

• Нажмите правой кнопкой мыши по значку Windows (меню Пуск) и выберите Командная строка (администратор) или Windows PowerShell (администратор)
• Введите команду ipconfig /flushdns и нажмите клавишу Enter (Ввод)
• Сделайте перезагрузку компьютера.

Настройка DNS в Windows 7

1. Нажмите правой кнопкой мыши на значок интернета в трее, выберите Центр управления сетями и общим доступом.

2. В разделе Просмотр активных сетей, выберите пункт справа от Подключения:

3. На вкладке Общие в окне Состояние Подключения нажмите кнопку Свойства.

4. На вкладке Сеть окна свойства подключения, прокрутите вниз и выберите Протокол Интернета версии 4 (TCP/IPv4), нажмите кнопку Свойства.

5. На вкладке «Общие» окна Свойства, в нижней части, выберите Использовать следующие адреса DNS-серверов, а затем введите IP-адреса выбранного DNS-сервиса, например, Google DNS.

6. Поставьте галочку для Подтвердить параметры при выходе и нажмите OK, чтобы сохранить изменения.

Обновите DNS-кэш следующим образом:

• Нажмите меню Пуск > введите cmd в поле «Найти программы и файлы» > нажмите правой кнопкой мыши по найденной ссылке и выберите Запустить от администратора
• В Командной строке введите команду ipconfig /flushdns и нажмите клавишу Enter (Ввод).
• Сделайте перезагрузку компьютера.

Настройка динамических обновлений DNS в Windows Server 2003

В этой статье описывается настройка функций обновления DNS в Microsoft Windows Server 2003.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 816592

Аннотация

Функция обновления DNS позволяет клиентские компьютеры DNS регистрироваться и динамически обновлять записи ресурсов на DNS-сервере при внесении изменений. При использовании этой функции можно сократить требования к ручном управлению записями зон, особенно для клиентов, которые часто перемещают и используют протокол DHCP для получения IP-адреса.

Windows Server 2003 обеспечивает поддержку функций динамического обновления, как описано в запросе на комментарии (RFC) 2136. Для DNS-серверов служба DNS позволяет включить или отключить функции обновления DNS для каждой зоны на каждом сервере, настроенном для загрузки стандартной основной или интегрированной в каталог зоны.

Функции обновления DNS для Windows Server 2003

Служба DNS позволяет клиентские компьютеры динамически обновлять свои записи ресурсов в DNS. При использовании этой функции вы улучшаете администрирование DNS, сокращая время, необходимое для управления записями зон вручную. Вы можете использовать функции обновления DNS с DHCP для обновления записей ресурсов при смене IP-адреса компьютера. Компьютеры под управлением Windows Server 2003 могут отправлять динамические обновления.

Windows Server 2003 предоставляет следующие функции, связанные с протоколом динамического обновления DNS:

Использование службы каталогов Active Directory в качестве службы locator для контроллеров домена.

Интеграция с Active Directory.

Зоны DNS можно интегрировать в Active Directory, чтобы обеспечить повышенную устойчивость к сбоям и безопасность. Каждая зона, интегрированная с Active Directory, реплицируется между всеми контроллерами домена в домене Active Directory. Все DNS-серверы, работающие на этих контроллерах домена, могут выступать в качестве основных серверов для зоны и принимать динамические обновления. Active Directory реплицируется для каждого свойства и распространяет только соответствующие изменения.

Вызревание и очистка записей.

Служба DNS Server может сканировать и удалять записи, которые больше не требуются. Если включить эту функцию, вы можете запретить устаревшим записям оставаться в DNS.

Защита динамических обновлений в зонах, интегрированных с Active Directory.

Вы можете настроить интегрированные с Active Directory зоны для защиты динамических обновлений, чтобы только авторизованные пользователи могли вносить изменения в зону или запись.

Администрирование из командной подсказки.

Улучшенное разрешение имен.

Улучшено кэшинг и отрицательное кэшинг.

Interoperability with other DNS server implementations.

Интеграция с другими сетевыми службами.

Добавоальная передача зоны.

Как компьютеры на основе Windows Server 2003 обновляют свои DNS-имена

По умолчанию компьютеры с Windows Server 2003, статически настроенные для протокола TCP/IP, пытаются динамически зарегистрировать записи ресурсов хост-адреса (A) и указателя (PTR) для IP-адресов, настроенных и используемых установленными сетевыми подключениями. По умолчанию все записи регистрации компьютера основаны на полном имени компьютера.

Для компьютеров с Windows Server 2003 полное имя основного компьютера — это полное доменное имя. Кроме того, полное имя основного компьютера — это основной DNS-суффикс компьютера, который будет прикреплен к имени компьютера. Чтобы определить основной DNS-суффикс компьютера и его имя, щелкните правой кнопкой мыши «Мой компьютер», выберите «Свойства» и выберите «Имя компьютера».

Обновления DNS можно отправить по одной из следующих причин или событий:

• IP-адрес добавляется, удаляется или изменен в конфигурации свойств TCP/IP для любого из установленных сетевых подключений.
• Аренда IP-адреса изменяется или обновляет одно из установленных сетевых подключений к DHCP-серверу. Например, это обновление происходит при работе компьютера или при использовании ipconfig /renew команды.
• С помощью этой команды вручную можно принудительно обновить регистрацию имени ipconfig /registerdns клиента в DNS.
• Компьютер включен.
• Рядовая сервер повышена до контроллера домена.

Когда одно из этих событий запускает обновление DNS, клиентская служба DHCP, а не служба клиента DNS, отправляет обновления. При изменении сведений об IP-адресе из-за DHCP в DNS выполняются соответствующие обновления для синхронизации сопоставлений имен и адресов для компьютера. Клиентская служба DHCP выполняет эту функцию для всех сетевых подключений в системе. К ним относятся подключения, которые не настроены на использование DHCP.

• Процесс обновления компьютеров с Windows Server 2003, которые используют DHCP для получения IP-адреса, отличается от процесса, описанного в этом разделе. Дополнительные сведения см. в разделах «Интеграция DHCP с DNS» и «Клиенты DHCP Windows и протокол динамического обновления DNS».
• В процессе обновления, описанном в этом разделе, предполагается, что имеются значения по умолчанию для установки Windows Server 2003. Определенные имена и поведение обновления невозмежны, если расширенные свойства TCP/IP настроены на использование параметров DNS, не задаваемых по умолчанию.
• Помимо полного имени компьютера или основного имени компьютера, можно настроить дополнительные DNS-имена для подключения и при желании зарегистрировать или обновить их в DNS.

По умолчанию Windows XP и Windows Server 2003 повторно регистрировали записи ресурсов A и PTR каждые 24 часа независимо от роли компьютера. Чтобы изменить это время, добавьте запись реестра DefaultRegistrationRefreshInterval в следующий подразряд реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters

Интервал устанавливается в секундах.

Пример работы обновлений DNS

Для Windows Server 2003 динамические обновления обычно запрашиваются при смене DNS-имени или IP-адреса на компьютере. Например, клиент с именем oldhost сначала настраивается в свойствах системы, чтобы иметь следующие имена:
Имя компьютера: oldhost
DNS-имя домена компьютера: example.microsoft.com
Полное имя компьютера: oldhost.example.microsoft.com

В этом примере для компьютера не настраиваются доменные имена DNS для конкретного подключения. При переименовании компьютера с «oldhost» на «newhost» происходит следующее изменение имени:
Имя компьютера: newhost
DNS-имя домена компьютера: example.microsoft.com
Полное имя компьютера: newhost.example.microsoft.com

После изменения имени в свойстве системы Windows Server 2003 будет предложено перезапустить компьютер. После перезапуска Windows на компьютере служба клиента DHCP выполняет следующую последовательность для обновления DNS:

Клиентская служба DHCP отправляет запрос типа SOA с использованием DNS-доменного имени компьютера.

Клиентский компьютер использует настроенное в настоящее время FQDN компьютера, например » » в качестве newhost.example.microsoft.com имени, указанного в этом запросе.

Полномочного DNS-сервера для зоны, которая содержит клиентского FQDN отвечает на запрос SOA-типа.

Для стандартных основных зон основной сервер или владелец, который возвращается в ответе soA запроса, является фиксированным и статическим. Имя основного сервера всегда соответствует точному DNS-имени, так как это имя отображается в записи ресурса SOA, которая хранится в зоне. Однако если обновляемая зона интегрирована с каталогом, любой DNS-сервер, загружающий зону, может ответить и динамически вставить свое имя в качестве основного сервера зоны в ответе soA-запроса.

Служба клиента DHCP пытается связаться с основным DNS-сервером.

Клиент обрабатывает ответ soA-запроса на его имя, чтобы определить IP-адрес DNS-сервера, который уполномочен в качестве основного сервера для принятие его имени. Если это необходимо, клиент выполняет следующие действия, чтобы связаться с основным сервером и динамически обновить его.

Клиент отправляет динамический запрос на обновление основному серверу, который определяется в ответе soA-запроса.

Если обновление успешно, никаких дополнительных действий не будет.

В случае сбой обновления клиент отправляет запрос типа NS для имени зоны, указанного в записи SOA.

Когда клиент получает ответ на этот запрос, клиент отправляет запрос SOA на первый DNS-сервер, указанный в отклике.

После разрешения запроса SOA клиент отправляет динамическое обновление на сервер, указанный в возвращенной записи SOA.

Если обновление успешно, никаких дополнительных действий не будет.

Если это обновление не удается, клиент повторяет процесс запроса SOA, отправляя его на следующий DNS-сервер, указанный в отклике.

После связи с основным сервером, который может выполнить обновление, клиент отправляет запрос на обновление, и сервер обрабатывает его.

Содержимое запроса на обновление включает инструкции по добавлению записей A и, возможно, PTR, записей ресурсов для «» и удалению этих же типов записей для newhost.example.microsoft.com oldhost.example.microsoft.com «. (» oldhost.example.microsoft.com » это имя, которое было зарегистрировано ранее.)

Сервер также проверяет, разрешены ли обновления для клиентского запроса. Для стандартных основных зон динамические обновления не защищены. Любая попытка клиента обновиться будет успешной. Для зон, интегрированных с Active Directory, обновления защищены и выполняются с помощью параметров безопасности на основе каталогов.

Динамические обновления отправляются или обновляются периодически. По умолчанию компьютеры отправляют обновления каждые 24 часа. Если при обновлении данные зоны не меняются, зона остается в текущей версии, и изменения не внося. Обновления, которые приводят к фактическому изменению зоны или увеличению ее передачи, происходят только в том случае, если имена или адреса действительно меняются.

Имена не удаляются из зон DNS, если они становятся неактивными или не обновляются в течение интервала обновления, равный 24 часам. DNS не использует механизм для освобождения или удаления имен, хотя DNS-клиенты пытаются удалить или обновить старые записи имен при применении нового имени или изменения адреса

Когда клиентская служба DHCP регистрирует записи ресурсов A и PTR для компьютера на основе Windows Server 2003, клиент использует для записей хоста значение времени жизни по умолчанию (TTL) в 15 минут. Это значение определяет, как долго другие DNS-серверы и клиенты кэшировали записи компьютера при их включаемом в ответ на запрос.

Интеграция DHCP с DNS

В Windows Server 2003 DHCP-сервер может включить динамические обновления в пространстве имен DNS для любого из своих клиентов, которые поддерживают эти обновления. Клиенты области могут использовать протокол динамического обновления DNS для обновления сведений о сопоставлении имени и адреса при внесении изменений в адрес, присвоенный DHCP. Эти сведения о сопоставлении хранятся в зонах на DNS-сервере. DHCP-сервер на основе Windows Server 2003 может выполнять обновления от имени своих клиентов DHCP на любом DNS-сервере.

Как работает взаимодействие с обновлением DHCP/DNS

DHCP-сервер можно использовать для регистрации и обновления записей PTR и A ресурсов от имени клиентов с поддержкой DHCP на сервере. В этом случае необходимо использовать дополнительный параметр DHCP— параметр FQDN клиента (вариант 81). Этот параметр позволяет клиенту отправлять свое FQDN на DHCP-сервер в пакете DHCPREQUEST. Это позволяет клиенту уведомлять DHCP-сервер о требуемом уровне обслуживания.

Параметр FQDN включает в себя шесть следующих полей:

• Код
  Указывает код для этого параметра (81).
• Len
  Указывает длину этого параметра. (Это должно быть не менее 4.)
• Flags
  Указывает тип службы.
• 0
  Клиент зарегистрирует запись «A» (Host).
• 1
  Клиент хочет, чтобы DHCP зарегистрировал запись «A» (Host).
• 3
  DHCP регистрирует запись «A» (Host) независимо от запроса клиента.
• RCODE1
  Указывает код ответа, отправляемый сервером клиенту.
• RCODE2
  Указывает дополнительное разграничение RCODE1.
• Доменное имя
  Указывает FQDN клиента.

Если клиент запрашивает регистрацию записей ресурсов в DNS, он отвечает за создание динамического запроса UPDATE для каждого запроса на комментарии (RFC) 2136. Затем DHCP-сервер регистрирует запись PTR (указателя).

Предположим, что этот параметр выдан квалифицированным клиентом DHCP, например компьютером с поддержкой DHCP под управлением Windows Server 2003, Microsoft Windows 2000 или Microsoft Windows XP. В этом случае этот параметр обрабатывается и интерпретируется серверами DHCP на основе Windows Server 2003, чтобы определить, как сервер инициирует обновления от имени клиента.

Например, для обработки клиентских запросов можно использовать любую из следующих конфигураций:

DHCP-сервер регистрирует и обновляет сведения о клиенте с помощью настроенных DNS-серверов в соответствии с запросом клиента.

Это конфигурация по умолчанию для DHCP-серверов и клиентов на базе Windows Server 2003, работающих под управлением Windows Server 2003, Windows 2000 или Windows XP. В этом режиме любой из этих DHCP-клиентов Windows может указать способ обновления DHCP-сервером записей ресурсов A и PTR. Если это возможно, DHCP-сервер обрабатывает запрос клиента на обработку обновлений своего имени и IP-адреса в DNS.

Чтобы настроить DHCP-сервер для регистрации сведений о клиенте в соответствии с запросом клиента, выполните следующие действия.

1. Откройте свойства DHCP для сервера или отдельной области.
2. Перейдите на вкладку DNS, щелкните «Свойства» и выберите динамическое обновление записей DNS A и PTR только по запросу клиента DHCP.

DHCP-сервер всегда регистрирует и обновляет сведения о клиенте на настроенных DNS-серверах.

Это измененная конфигурация, поддерживаемая для серверов DHCP на основе Windows Server 2003 и клиентов под управлением Windows Server 2003, Windows 2000 или Windows XP. В этом режиме DHCP-сервер всегда обновляет сведения о FQDN и арендованном IP-адресе клиента независимо от того, запрашивал ли клиент собственные обновления.

Чтобы настроить DHCP-сервер для регистрации и обновления сведений о клиенте с помощью настроенных DNS-серверов, выполните следующие действия.

1. Открытие свойств DHCP для сервера
2. Щелкните DNS, щелкните «Свойства», выберите параметр «Включить динамические обновления DNS» в соответствии с настройками ниже, а затем щелкните «Всегда динамически обновлять записи DNS A и PTR».

DHCP-сервер никогда не регистрирует и не обновляет данные клиента на настроенных DNS-серверах.

Чтобы использовать эту конфигурацию, необходимо настроить DHCP-сервер для отключения производительности обновлений DHCP/DNS с прокси-сервером. При использовании этой конфигурации записи ресурсов A или PTR не обновляются в DNS для клиентов DHCP.

Чтобы сервер никогда не обновлял сведения о клиенте, выполните следующие действия.

1. Откройте свойства DHCP для DHCP-сервера или одной из его областей на DHCP-сервере на основе Windows Server 2003.
2. Щелкните DNS,щелкните «Свойства», а затем обновите динамические обновления DNS в соответствии с настройками ниже.

По умолчанию обновления всегда выполняются для недавно установленных DHCP-серверов на основе Windows Server 2003 и любых новых областей, созданных для них.

Клиенты DHCP Windows и протокол динамического обновления DNS

Клиенты DHCP, работающие под управлением Windows Server 2003, Windows 2000, Windows XP или более ранних операционных систем, могут взаимодействовать по-разному при взаимодействии DHCP/DNS. В следующих примерах покажем, как этот процесс зависит от разных случаев.

Пример взаимодействия с обновлением DHCP/DNS для клиентов DHCP на основе Windows Server 2003, Windows 2000 и Windows XP

Клиенты под управлением Windows Server 2003, Windows 2000 или DHCP Windows XP взаимодействуют с протоколом динамического обновления DNS следующим образом:

1. Клиент инициирует сообщение DHCP-запроса (DHCPREQUEST) на сервер. Запрос включает вариант 81.
2. Сервер возвращает клиенту сообщение подтверждения DHCP (DHCPACK). Клиент предоставляет аренду IP-адреса и включает вариант 81. Если на DHCP-сервере настроены параметры по умолчанию, вариант 81 сообщает клиенту, что DHCP-сервер зарегистрирует запись DNS PTR и что клиент зарегистрирует запись A DNS.
3. Асинхронно клиент отправляет запрос на обновление DNS на DNS-сервер для собственной записи переадресовки, записи ресурса A.
4. DHCP-сервер регистрирует запись PTR клиента.

Пример взаимодействия с обновлением DHCP/DNS для клиентов DHCP на основе Windows, которые используют версию Windows более ранней, чем Windows Server 2003

Более ранние версии клиентов DHCP на базе Windows не поддерживают динамическое обновление DNS напрямую и не могут напрямую взаимодействовать с DNS-сервером. Для этих клиентов DHCP обновления обычно обрабатываются следующим образом:

1. Клиент инициирует сообщение DHCP-запроса (DHCPREQUEST) на сервер. Этот запрос не включает вариант 81.
2. Сервер возвращает клиенту сообщение подтверждения DHCP (DHCPACK). Клиент предоставляет аренду IP-адреса без варианта 81.
3. Сервер отправляет на DNS-сервер обновления для записи переадресовки и ресурса A клиента, а также отправляет обновление для записи обратного подсмотра PTR клиента.

Защита динамических обновлений

Для Windows Server 2003 безопасность обновлений DNS доступна только для зон, интегрированных в Active Directory. После интеграции зоны можно использовать функции редактирования списка управления доступом (ACL), доступные в оснастке DNS, для добавления или удаления пользователей или групп из списка управления доступом для определенной зоны или записи ресурса.

Дополнительные сведения можно найти в разделе «Изменение безопасности записи ресурса» или в разделе «Изменение безопасности интегрированной зоны каталогов» справки Windows Server 2003.

По умолчанию безопасность динамических обновлений для DNS-серверов и клиентов Windows Server 2003 обрабатывается следующим образом:

Клиенты DNS на основе Windows Server 2003 сначала пытаются использовать незасвеченные динамические обновления. Если в незавершяем обновлении отказано, клиенты пытаются использовать безопасное обновление.

Кроме того, клиенты используют политику обновления по умолчанию, которая позволяет им пытаться перезаписать ранее зарегистрированную запись ресурса, если они не заблокированы специально с помощью системы безопасности обновления.

По умолчанию после интеграции зоны с Active Directory DNS-серверы на основе Windows Server 2003 обеспечивают только безопасные динамические обновления.

По умолчанию при использовании стандартного хранилища зон служба DNS Server не включает динамические обновления в своих зонах. Для зон, которые интегрированы в каталог или используют стандартное хранилище на основе файлов, можно изменить зону, чтобы включить все динамические обновления. Это позволяет принимать все обновления, передавая безопасные обновления.

Служба DHCP Server может выполнять регистрацию и обновление записей DNS для устаревших клиентов, которые не поддерживают динамические обновления. Дополнительные сведения см. в разделе «Использование DNS-серверов с DHCP» справки windows Server 2003.

Если в сети используется несколько DHCP-серверов на основе Windows Server 2003 и зоны настроены только для обеспечения безопасных динамических обновлений, используйте оснастку «Пользователи и компьютеры Active Directory», чтобы добавить компьютеры DHCP-серверов во встроенную группу DnsUpdateProxy. В этом случае все DHCP-серверы имеют защищенные права на обновление прокси-сервера для любого из клиентов DHCP. Дополнительные сведения см. в разделе «Использование DNS-серверов с DHCP» или в разделе «Управление группами» справки по Windows Server 2003.

Функциональность безопасных динамических обновлений может быть скомпрометирована, если суются следующие условия:

• Запуск DHCP-сервера на контроллере домена на основе Windows Server 2003
• DHCP-сервер настроен для регистрации записей DNS от имени своих клиентов. Чтобы избежать этой проблемы, развернем DHCP-серверы и контроллеры домена на отдельных компьютерах или настройте DHCP-сервер для использования выделенной учетной записи пользователя для динамических обновлений. Дополнительные сведения см. в разделе «Использование DNS-серверов с DHCP» справки windows Server 2003.

Дополнительные сведения см. в разделе «Вопросы безопасности при использовании группы DnsUpdateProxy».

Включить только безопасные динамические обновления

1. Нажмите кнопку Пуск, последовательно выберите пункты Администрирование и DNS.
2. В DNS дважды щелкните соответствующий DNS-сервер, дважды щелкните зоны прямого или обратного подсмотра, а затем щелкните ее правой кнопкой мыши.
3. Выберите команду Свойства.
4. На вкладке «Общие» убедитесь, что тип зоны интегрирован с Active Directory.
5. В поле «Динамические обновления» щелкните «Только безопасность».
6. Нажмите кнопку ОК.

Функция безопасного динамического обновления поддерживается только для зон, интегрированных с Active Directory. Если вы настраивали другой тип зоны, измените тип зоны, а затем интегрируем зону перед ее безопасностью для обновлений DNS. Динамическое обновление — это расширение, совместимое с RFC, для стандарта DNS. Процесс обновления DNS определен в RFC 2136, «Динамические обновления в системе доменных имен (DNS UPDATE)».

Использование группы безопасности DnsUpdateProxy

Можно настроить DHCP-сервер на основе Windows Server 2003 таким образом, чтобы он динамически регистрирует записи ресурсов A и PTR от имени клиентов DHCP. При использовании безопасных динамических обновлений в этой конфигурации с DNS-серверами на основе Windows Server 2003 записи ресурсов могут стать устаревшими.

Например, рассмотрим следующий сценарий:

1. DHCP-сервер Windows Server 2003 (DHCP1) выполняет безопасное динамическое обновление от имени одного из своих клиентов для определенного доменного имени DNS.
2. Поскольку DHCP-сервер успешно создал имя, он становится владельцем имени.
3. После того как DHCP-сервер становится владельцем имени клиента, только этот DHCP-сервер может обновить имя.

В некоторых случаях этот сценарий может вызвать проблемы. Например, если происходит сбой DHCP1 и в сети появляется второй резервный DHCP-сервер, резервный сервер не может обновить имя клиента, так как он не является владельцем имени.

В другом примере предположим, что DHCP-сервер выполняет динамические обновления для устаревших клиентов. При обновлении этих клиентов до Windows Server 2003, Windows 2000 или Windows XP обновленный клиент не сможет получить права владельца или обновить свои записи DNS.

Для решения этой проблемы предоставляется встроенная группа безопасности DnsUpdateProxy. Если все DHCP-серверы добавлены в группу DnsUpdateProxy, записи одного сервера могут быть обновлены другим сервером в случае сбойов первого сервера. Кроме того, все объекты, созданные членами группы DnsUpdateProxy, не защищены. Таким образом, первый пользователь, который не является членом группы DnsUpdateProxy и изменяет набор записей, связанных с DNS-именем, становится его владельцем. При обновлении устаревших клиентов они могут стать владельцем своих записей имен на DNS-сервере. Если каждый DHCP-сервер, регистрирует записи ресурсов для устаревших клиентов, является членом группы DnsUpdateProxy, устраняется множество проблем.

Добавление участников в группу DnsUpdateProxy

Используйте оснастку «Пользователи и компьютеры Active Directory» для настройки группы безопасности DnsUpdateProxy.

Если для обеспечения сбоя и обеспечения безопасности динамических обновлений используется несколько DHCP-серверов, добавьте каждый сервер в глобальную группу безопасности DnsUpdateProxy.

Вопросы безопасности при использовании группы DnsUpdateProxy

DNS-имена доменов, зарегистрированные DHCP-сервером, не являются безопасными, если DHCP-сервер входит в группу DnsUpdateProxy. Примером такой записи является запись ресурса host (A) для самого DHCP-сервера. Кроме того, объекты, созданные членами группы DnsUpdateProxy, не являются безопасными. Поэтому нельзя эффективно использовать эту группу в интегрированной с Active Directory зоне, которая обеспечивает безопасность динамических обновлений, только если не предпринять дополнительные действия для обеспечения безопасности записей, созданных участниками группы.

Чтобы защититься от незащищенных записей или позволить членам группы DnsUpdateProxy регистрировать записи в зонах, которые обеспечивают только защищенные динамические обновления, выполните следующие действия:

1. Создайте выделенную учетную запись пользователя.
2. Настройте DHCP-серверы для выполнения динамических обновлений DNS с учетными данными учетной записи пользователя. (Эти учетные данные являются именем пользователя, паролем и доменом.)

Учетные данные одной выделенной учетной записи пользователя могут использоваться несколькими DHCP-серверами.

Выделенная учетная запись пользователя — это учетная запись пользователя, единственная цель которой — предоставить DHCP-серверам учетные данные для динамических регистраций обновлений DNS. Предположим, что вы создали выделенную учетную запись пользователя и настроили DHCP-серверы с учетными данными учетной записи. Каждый DHCP-сервер будет предоставить эти учетные данные при регистрации имен от имени клиентов DHCP, использующих динамическое обновление DNS. Выделенная учетная запись пользователя должна быть создана в лесу, где находится основной DNS-сервер для обновляемой зоны. Выделенная учетная запись пользователя также может быть расположена в другом лесу. Тем не менее, в лесу, в который входит учетная запись, должно быть установлено доверие леса с лесом, который содержит основной DNS-сервер для обновляемой зоны.

При установке службы DHCP-сервера на контроллере домена можно настроить DHCP-сервер с помощью учетных данных выделенной учетной записи пользователя, чтобы предотвратить наследующие и, возможно, неиспользованные возможности контроллера домена. При установке службы DHCP-сервера на контроллере домена она наследует разрешения безопасности контроллера домена. Служба также обладает полномочиями на обновление или удаление любой записи DNS, зарегистрированной в безопасной зоне, интегрированной с Active Directory. (К ним относятся записи, которые были безопасно зарегистрированы другими компьютерами на основе Windows 2000 или Windows Server 2003, а также контроллерами домена.)

Настройка динамических обновлений DNS

Функциональные возможности динамического обновления, включаемого в Windows Server 2003, следуют RFC 2136. Динамическое обновление позволяет клиентам и серверам регистрировать DNS-доменные имена (записи ресурсов PTR) и сопоставления IP-адресов (записи ресурсов A) с DNS-сервером, совместимым с RFC 2136.

Настройка динамических обновлений DNS для клиентов DHCP

По умолчанию клиенты DHCP на основе Windows Server 2003, Windows 2000 и Windows XP настраиваются таким образом, чтобы клиент запрашивал регистрацию записи ресурса A и что сервер регистрирует запись ресурса PTR. По умолчанию имя, используемого при регистрации DNS, является совмещением имени компьютера и основного DNS-суффикса. Чтобы изменить это имя по умолчанию, откройте свойства TCP/IP сетевого подключения.

Чтобы изменить значения по умолчанию динамического обновления для клиента динамического обновления, выполните следующие действия.

В панели управления дважды щелкните «Сетевые подключения».

Щелкните правой кнопкой мыши подключение, которое нужно настроить, и выберите «Свойства».

Щелкните протокол Интернета (TCP/IP), выберите «Свойства» и нажмите кнопку «Дополнительные».

Щелкните DNS.

По умолчанию выбрана регистрация адреса этого подключения в DNS и использование DNS-суффикса этого подключения при регистрации DNS не выбрано. При такой конфигурации по умолчанию клиент запрашивает у клиента регистрацию записи ресурса A, а сервер — запись ресурса PTR.

Щелкните, чтобы выбрать DNS-суффикс этого подключения в окне регистрации DNS.

Затем клиент запросит у сервера обновление записи PTR с помощью FQDN. Если DHCP-сервер настроен на регистрацию записей DNS в соответствии с запросом клиента, клиент регистрирует следующие записи:

• Запись PTR.
• Запись A, использующая имя, которое является совмещением имени компьютера и основного DNS-суффикса.
• Запись A, использующая имя, которое является совмещением имени компьютера и Суффикса DNS для конкретного подключения.

Чтобы настроить клиент на отсутствие запросов на регистрацию DNS, щелкните, чтобы очистить адрес этого подключения в окне DNS.

Настройка динамических обновлений DNS на клиентских компьютерах с несколькими клиентами

Если динамический клиент обновления является многосайтным, он регистрирует все свои IP-адреса в DNS по умолчанию. Клиент является многосайтным, если он имеет несколько адапторов и связанный IP-адрес. Если вы не хотите, чтобы клиент регистрирует все его IP-адреса, вы можете настроить его так, чтобы он не регистрирует один или несколько IP-адресов в свойствах сетевого подключения.

Чтобы запретить компьютеру регистрировать все его IP-адреса, выполните следующие действия.

1. В панели управления дважды щелкните «Сетевые подключения».
2. Щелкните правой кнопкой мыши подключение, которое нужно настроить, и выберите «Свойства».
3. Щелкните протокол Интернета (TCP/IP), выберите «Свойства» и нажмите кнопку «Дополнительные».
4. Щелкните DNS.
5. Щелкните, чтобы очистить адрес этого подключения в поле DNS.

Можно также настроить компьютер для регистрации его доменного имени в DNS. Например, если у вас есть клиент, подключенный к двум разным сетям, можно настроить для клиента другое доменное имя в каждой сети.

Настройка динамических обновлений DNS на DHCP-сервере на основе Windows Server 2003

Чтобы настроить динамическое обновление DNS для DHCP-сервера на основе Windows Server 2003, выполните следующие действия.

Нажмите кнопку «Начните», найдите пункт«Администрирование» и выберите пункт «DHCP».

Щелкните правой кнопкой мыши соответствующий DHCP-сервер или область, а затем выберите «Свойства».

Щелкните DNS.

Щелкните, чтобы включить динамические обновления DNS в соответствии с настройками ниже, чтобы включить динамическое обновление DNS для клиентов, которые поддерживают динамическое обновление.

По умолчанию этот флажок установлен.

Чтобы включить динамическое обновление DNS для клиентов DHCP, которые не поддерживают его, щелкните, чтобы динамически обновить записи DNS A и PTR для клиентов DHCP, которые не запрашивают обновления (например, клиенты с Windows NT 4.0).

Нажмите кнопку ОК.

Включить динамические обновления DNS на DNS-сервере

На DHCP-сервере на основе Windows Server 2003 можно динамически обновлять записи DNS для клиентов на основе windows Server 2003, которые не могут сделать это самостоятельно.

Чтобы позволить DHCP-серверу динамически обновлять записи DNS своих клиентов, выполните следующие действия.

1. В консоли управления DHCP выберите область или DHCP-сервер, для который необходимо включить обновления DNS.
2. В меню «Действие» щелкните «Свойства» и выберите DNS.
3. Щелкните, чтобы выбрать динамические обновления DNS в соответствии с настройками ниже.
4. Чтобы обновить записи DNS клиента в зависимости от типа DHCP-запроса, который делает клиент, щелкните, чтобы динамически обновлять записи DNS A и PTR только по запросу клиентов DHCP. (Это обновление будет происходить только в том случае, если клиент делает запрос.)
5. Чтобы всегда обновлять записи обратного и обратного подсмотра клиента, выберите «Всегда динамически обновлять записи DNS A и PTR».
6. Щелкните, чтобы удалить записи A и PTR при удалении аренды, чтобы сервер DHCP удалил запись для клиента по истечении срока аренды DHCP и не продлевался.

Отключение динамических обновлений DNS

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

По умолчанию динамические обновления настраиваются на клиентах windows Server 2003. Чтобы отключить динамические обновления для всех сетевых интерфейсов, выполните следующие действия.

Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.

Найдите и щелкните следующий подкомедий реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

В меню «Правка» найдите пункт «Новый» и выберите значение DWORD.

Введите DisableDynamicUpdate и нажмите ввод два раза.

В окне «Изменение значения DWORD» введите 1 в поле данных «Значение» и нажмите кнопку «ОК».

Quit Registry Editor.

Чтобы отключить динамические обновления для определенного интерфейса, выполните следующие действия.

1. Щелкните Пуск, затем Выполнить и введите regedit. Затем нажмите ОК.
2. Найдите и щелкните следующий подкомедий реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

интерфейс — это ИД сетевого адаптера для интерфейса, для который требуется отключить динамическое обновление.