Konfigurieren dynamischer DNS-Updates in Windows Server 2003

In diesem Artikel wird beschrieben, wie Sie die Funktion zum Aktualisieren von DNS in Microsoft Windows Server 2003 konfigurieren.

Ursprüngliche Produktversion:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   816592

Zusammenfassung

Die Dns-Update-Funktion ermöglicht es DNS-Clientcomputern, ihre Ressourceneinträge bei einem DNS-Server zu registrieren und dynamisch zu aktualisieren, wenn Änderungen vorgenommen werden. Wenn Sie diese Funktion verwenden, können Sie die Notwendigkeit der manuellen Verwaltung von Zoneneinträgen reduzieren, insbesondere für Clients, die häufig dhcp (Dynamic Host Configuration Protocol) verschieben und verwenden, um eine IP-Adresse zu erhalten.

Windows Server 2003 bietet Unterstützung für die dynamische Updatefunktionalität, wie in Request for Comments (RFC) 2136 beschrieben. Bei DNS-Servern ermöglicht ihnen der DNS-Dienst, die Funktion für die DNS-Update-Funktion auf Zonenbasis auf jedem Server zu aktivieren oder zu deaktivieren, der so konfiguriert ist, dass entweder eine standardmäßige primäre oder verzeichnisintegrierte Zone geladen wird.

Windows Server 2003-DNS-Updatefeatures

Mit dem DNS-Dienst können Clientcomputer ihre Ressourceneinträge im DNS dynamisch aktualisieren. Wenn Sie diese Funktion verwenden, verbessern Sie die DNS-Verwaltung, indem Sie die Zeit reduzieren, die zum manuellen Verwalten von Zoneneinträgen erforderlich ist. Sie können die Funktion zum Aktualisieren von DNS-Updates mit DHCP verwenden, um Ressourceneinträge zu aktualisieren, wenn die IP-Adresse eines Computers geändert wird. Computer mit Windows Server 2003 können dynamische Updates senden.

Windows Server 2003 bietet die folgenden Features im Zusammenhang mit dem dynamischen DNS-Updateprotokoll:

  • Verwendung des Active Directory-Verzeichnisdiensts als Locatordienst für Domänencontroller.

  • Integration in Active Directory.

    Sie können die DNS-Zonen in Active Directory integrieren, um eine höhere Fehlertoleranz und Sicherheit zu gewährleisten. Jede active Directory-integrierte Zone wird unter allen Domänencontrollern in der Active Directory-Domäne repliziert. Alle DNS-Server, die auf diesen Domänencontrollern ausgeführt werden, können als primäre Server für die Zone fungieren und dynamische Updates akzeptieren. Active Directory wird pro Eigenschaft repliziert und gibt nur relevante Änderungen weiter.

  • Altern und Aufräumen von Datensätzen.

    Der DNS -Serverdienst kann nicht mehr erforderliche Datensätze überprüfen und entfernen. Wenn Sie dieses Feature aktivieren, können Sie verhindern, dass veraltete Einträge im DNS bleiben.

  • Sichere dynamische Updates in Active Directory-integrierten Zonen.

    Sie können active Directory-integrierte Zonen für sichere dynamische Updates konfigurieren, sodass nur autorisierte Benutzer Änderungen an einer Zone oder einem Datensatz vornehmen können.

  • Verwaltung über eine Eingabeaufforderung.

  • Verbesserte Namensauflösung.

  • Verbesserte Zwischenspeicherung und negative Zwischenspeicherung.

  • Interoperabilität mit anderen DNS-Serverimplementierung.

  • Integration in andere Netzwerkdienste.

  • Inkrementelle Zonenübertragung.

So aktualisieren Windows Server 2003-basierte Computer ihre DNS-Namen

Standardmäßig versuchen Computer, auf denen Windows Server 2003 ausgeführt wird und die statisch für TCP/IP konfiguriert sind, Ressourceneinträge für Hostadressen (A) und Zeiger (PTR) für IP-Adressen dynamisch zu registrieren, die von ihren installierten Netzwerkverbindungen konfiguriert und verwendet werden. Standardmäßig basieren alle Computerregistereinträge auf dem vollständigen Computernamen.

Bei Windows Server 2003-basierten Computern ist der primäre vollständige Computername ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN). Darüber hinaus ist der primäre vollständige Computername das primäre DNS-Suffix des Computers, das an den Computernamen angefügt wird. Um das primäre DNS-Suffix des Computers und den Computernamen zu ermitteln, klicken Sie mit der rechten Maustaste auf "Mein Computer", klicken Sie auf "Eigenschaften" und dann auf "Computername".

DNS-Updates können aus einem der folgenden Gründe oder Ereignisse gesendet werden:

  • Eine IP-Adresse wird in der TCP/IP-Eigenschaftenkonfiguration für eine der installierten Netzwerkverbindungen hinzugefügt, entfernt oder geändert.
  • Eine IP-Adress-Lease ändert oder erneuert eine der installierten Netzwerkverbindungen mit dem DHCP-Server. Dieses Update tritt beispielsweise auf, wenn der Computer gestartet wird oder wenn Sie den Befehl ipconfig /renew verwenden.
  • Sie verwenden den ipconfig /registerdns Befehl, um eine Aktualisierung der Clientnamenregistrierung im DNS manuell zu erzwingen.
  • Der Computer ist aktiviert.
  • Ein Mitgliedsserver wird zu einem Domänencontroller heraufgestuft.

Wenn eines dieser Ereignisse ein DNS-Update auslöst, sendet der DHCP-Clientdienst, nicht der DNS-Clientdienst, Updates. Wenn eine Änderung der Informationen zu den IP-Adressen aufgrund von DHCP erfolgt, werden entsprechende Aktualisierungen in DNS ausgeführt, um Namens-zu-Adresse-Zuordnungen für den Computer zu synchronisieren. Der DHCP-Clientdienst führt diese Funktion für alle Netzwerkverbindungen im System aus. Dazu gehören Verbindungen, die nicht für die Verwendung von DHCP konfiguriert sind.

Hinweis

  • Der Updateprozess für Windows Server 2003-basierte Computer, die DHCP zum Abrufen ihrer IP-Adresse verwenden, ist anders als der in diesem Abschnitt beschriebene Prozess. Weitere Informationen finden Sie im Abschnitt "Integration von DHCP in DNS" und im Abschnitt "Windows-DHCP-Clients und DNS Dynamic Update Protocol".
  • Bei dem in diesem Abschnitt beschriebenen Updateprozess wird davon ausgegangen, dass die Windows Server 2003-Installationseinstellungen wirksam sind. Bestimmte Namen und das Updateverhalten können angepasst werden, wenn erweiterte TCP/IP-Eigenschaften für die Verwendung von nicht standardmäßigen DNS-Einstellungen konfiguriert sind.
  • Neben dem vollständigen Computernamen oder dem primären Namen des Computers können Sie zusätzliche verbindungsspezifische DNS-Namen konfigurieren und optional in DNS registrieren oder aktualisieren.

Standardmäßig registrieren Windows XP und Windows Server 2003 ihre A- und PTR-Ressourceneinträge alle 24 Stunden neu, unabhängig von der Rolle des Computers. Fügen Sie zum Ändern dieses Zeitpunkts den Registrierungseintrag "DefaultRegistrationRefreshInterval" unter dem folgenden Registrierungsunterschlüssel hinzu:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIp\Parameters

Das Intervall wird in Sekunden festgelegt.

Ein Beispiel für die Funktionsweise von DNS-Updates

Für Windows Server 2003 werden dynamische Updates in der Regel angefordert, wenn sich ein DNS-Name oder eine IP-Adresse auf dem Computer ändert. Beispielsweise wird ein Client mit dem Namen "oldhost" zuerst in den Systemeigenschaften so konfiguriert, dass er die folgenden Namen hat:
Computername: oldhost
DNS-Domänenname des Computers: example.microsoft.com
Vollständiger Computername: oldhost.example.microsoft.com

In diesem Beispiel sind keine verbindungsspezifischen DNS-Domänennamen für den Computer konfiguriert. Wenn Sie den Computer von "oldhost" in "newhost" umbenennen, werden die folgenden Namensänderungen vorgenommen:
Computername: newhost
DNS-Domänenname des Computers: example.microsoft.com
Vollständiger Computername: newhost.example.microsoft.com

Nachdem die Namensänderung in den Systemeigenschaften angewendet wurde, werden Sie von Windows Server 2003 aufgefordert, den Computer neu zu starten. Nach dem Neustart von Windows führt der DHCP-Clientdienst die folgende Sequenz aus, um DNS zu aktualisieren:

  1. Der DHCP-Clientdienst sendet eine Abfrage vom Typ "Start of Authority" (SOA) unter Verwendung des DNS-Domänennamens des Computers.

    Der Clientcomputer verwendet den derzeit konfigurierten FQDN des Computers, z. B. " ", wie newhost.example.microsoft.com der in dieser Abfrage angegebene Name.

  2. Der autorisierende DNS-Server für die Zone, die den Client-FQDN enthält, antwortet auf die SOA-Typ-Abfrage.

    Bei standardmäßigen primären Zonen ist der primäre Server oder Besitzer, der in der SOA-Abfrageantwort zurückgegeben wird, fest und statisch. Der Name des primären Servers entspricht immer dem genauen DNS-Namen, da dieser Name im mit der Zone gespeicherten SOA-Ressourcendatensatz angezeigt wird. Wenn die zone, die aktualisiert wird, jedoch verzeichnisintegrierte ist, kann jeder DNS-Server, der die Zone lädt, reagieren und dynamisch einen eigenen Namen als primären Server der Zone in der SOA-Abfrageantwort einfügen.

  3. Der DHCP-Clientdienst versucht, den primären DNS-Server zu kontaktieren.

    Der Client verarbeitet die SOA-Abfrageantwort für den Namen, um die IP-Adresse des DNS-Servers zu ermitteln, der als primärer Server zum Akzeptieren des Namens autorisiert ist. Wenn dies erforderlich ist, führt der Client die folgenden Schritte aus, um den primären Server zu kontaktieren und dynamisch zu aktualisieren:

    1. Der Client sendet eine dynamische Aktualisierungsanforderung an den primären Server, der in der Antwort der SOA-Abfrage bestimmt wird.

      Wenn das Update erfolgreich ist, wird keine zusätzliche Aktion ergriffen.

    2. Wenn diese Aktualisierung fehlschlägt, sendet der Client als Nächstes eine NS-Typ-Abfrage für den Zonennamen, der im SOA-Eintrag angegeben ist.

    3. Wenn der Client eine Antwort auf diese Abfrage empfängt, sendet der Client eine SOA-Abfrage an den ersten DNS-Server, der in der Antwort aufgeführt ist.

    4. Nachdem die SOA-Abfrage aufgelöst wurde, sendet der Client eine dynamische Aktualisierung an den Server, der im zurückgegebenen SOA-Eintrag angegeben ist.

      Wenn das Update erfolgreich ist, wird keine zusätzliche Aktion ergriffen.

    5. Wenn dieses Update fehlschlägt, wiederholt der Client den SOA-Abfrageprozess, indem er an den nächsten DNS-Server sendet, der in der Antwort aufgeführt ist.

  4. Nachdem der primäre Server, der das Update ausführen kann, kontaktiert wurde, sendet der Client die Updateanforderung, und der Server verarbeitet sie.

    Der Inhalt der Aktualisierungsanforderung enthält Anweisungen zum Hinzufügen von A- und ggf. PTR-Ressourceneinträgen für " " und zum Entfernen der gleichen Datensatztypen newhost.example.microsoft.com für " oldhost.example.microsoft.com ". (" oldhost.example.microsoft.com " ist der Name, der zuvor registriert wurde.)

    Der Server überprüft außerdem, ob Updates für die Clientanforderung zulässig sind. Bei standardmäßigen primären Zonen werden dynamische Updates nicht gesichert. Jeder Aktualisierungsversuch des Clients ist erfolgreich. Bei Active Directory-integrierten Zonen werden Updates mithilfe verzeichnisbasierter Sicherheitseinstellungen gesichert und ausgeführt.

Dynamische Updates werden regelmäßig gesendet oder aktualisiert. Standardmäßig senden Computer alle 24 Stunden ein Update. Wenn das Update keine Änderungen an zonendaten verursacht, bleibt die Zone auf der aktuellen Version, und es werden keine Änderungen geschrieben. Aktualisierungen, die tatsächliche Zonenänderungen oder erhöhte Zonenübertragungen verursachen, treten nur auf, wenn sich Namen oder Adressen tatsächlich ändern.

Hinweis

Namen werden nicht aus den DNS-Zonen entfernt, wenn sie inaktiv werden oder wenn sie nicht innerhalb des Updateintervalls von 24 Stunden aktualisiert werden. DNS verwendet keinen Mechanismus, um Namen frei zu geben oder für Diebenennamen zu verwenden, obwohl dns-Clients versuchen, einträge mit alten Namen zu löschen oder zu aktualisieren, wenn eine neue Namens- oder Adressänderung angewendet wird.

Wenn der DHCP-Clientdienst A- und PTR-Ressourceneinträge für einen Windows Server 2003-basierten Computer registriert, verwendet der Client einen Standardwert für die Zwischenspeicherung von Gültigkeitsdauer (Time-to-Live, TTL) von 15 Minuten für Hosteinträge. Dieser Wert bestimmt, wie lange andere DNS-Server und Clients die Datensätze eines Computers zwischenspeichern, wenn sie in eine Abfrageantwort einbezogen werden.

Integration von DHCP in DNS

Mit Windows Server 2003 kann ein DHCP-Server dynamische Updates im DNS-Namespace für jeden seiner Clients aktivieren, der diese Updates unterstützt. Bereichsclients können das dynamische DNS-Updateprotokoll verwenden, um ihre Informationen zur Zuordnung von Hostnamen zu Adressen zu aktualisieren, wenn Änderungen an ihrer über DHCP zugewiesenen Adresse vorgenommen werden. Diese Zuordnungsinformationen werden in Zonen auf dem DNS-Server gespeichert. Ein Windows Server 2003-basierter DHCP-Server kann Aktualisierungen im Auftrag seiner DHCP-Clients auf einem beliebigen DNS-Server durchführen.

Funktionsweise der DHCP/DNS-Updateinteraktion

Sie können den DHCP-Server verwenden, um die PTR- und A-Ressourceneinträge im Namen der DHCP-fähigen Clients des Servers zu registrieren und zu aktualisieren. Wenn Sie dies tun, müssen Sie eine zusätzliche DHCP-Option verwenden, die Option "Client-FQDN" (Option 81). Mit dieser Option kann der Client seinen FQDN im PAKET DHCPREQUEST an den DHCP-Server senden. Dadurch kann der Client den DHCP-Server über den benötigten Servicelevel informieren.

Die Option FQDN umfasst die folgenden sechs Felder:

  • Code
    Gibt den Code für diese Option an (81).
  • Länge
    Gibt die Länge dieser Option an. (Dies muss mindestens 4 sein.)
  • Flags
    Gibt den Diensttyp an.
  • 0
    Der Client registriert den "A"-Eintrag (Host).
  • 1
    Client möchte, dass DHCP den Eintrag "A" (Host) registriert.
  • 3
    DHCP registriert den Eintrag "A" (Host) unabhängig von der Anforderung des Clients.
  • RCODE1
    Gibt einen Antwortcode an, den der Server an den Client sendet.
  • RCODE2
    Gibt eine zusätzliche Abgrenzung von RCODE1 an.
  • Domänenname
    Gibt den FQDN des Clients an.

Wenn der Client fordert, seine Ressourceneinträge bei DNS zu registrieren, ist der Client für die Generierung der dynamischen UPDATE-Anforderung pro RFC (Request for Comments) 2136 verantwortlich. Anschließend registriert der DHCP-Server seinen PTR(Pointer)-Eintrag.

Gehen Sie davon aus, dass diese Option von einem qualifizierten DHCP-Client ausgegeben wird, z. B. einem DHCP-fähigen Computer, auf dem Windows Server 2003, Microsoft Windows 2000 oder Microsoft Windows XP ausgeführt wird. In diesem Fall wird die Option von Windows Server 2003-basierten DHCP-Servern verarbeitet und interpretiert, um zu bestimmen, wie der Server Updates im Auftrag des Clients initiiert.

Sie können beispielsweise eine der folgenden Konfigurationen verwenden, um Clientanforderungen zu verarbeiten:

  • Der DHCP-Server registriert und aktualisiert Clientinformationen mit den konfigurierten DNS-Servern entsprechend der Clientanforderung.

    Dies ist die Standardkonfiguration für Windows Server 2003-basierte DHCP-Server und -Clients, auf denen Windows Server 2003, Windows 2000 oder Windows XP ausgeführt wird. In diesem Modus kann jeder dieser Windows-DHCP-Clients angeben, wie der DHCP-Server seine Host-A- und -PTR-Ressourceneinträge aktualisiert. Wenn möglich, verarbeitet der DHCP-Server die Clientanforderung für die Verarbeitung von Aktualisierungen des Namens und der IP-Adressinformationen im DNS.

    Führen Sie die folgenden Schritte aus, um den DHCP-Server so zu konfigurieren, dass Clientinformationen entsprechend der Anforderung des Clients registriert werden:

    1. Öffnen Sie die DHCP-Eigenschaften für den Server oder den einzelnen Bereich.
    2. Klicken Sie auf die Registerkarte "DNS", klicken Sie auf "Eigenschaften", und aktivieren Sie dann das Kontrollkästchen "DNS-A- und -PTR-Einträge dynamisch aktualisieren", wenn dies vom Kontrollkästchen für die DHCP-Clients angefordert wird.
  • Der DHCP-Server registriert und aktualisiert Clientinformationen bei den konfigurierten DNS-Servern.

    Dies ist eine geänderte Konfiguration, die für Windows Server 2003-basierte DHCP-Server und -Clients unter Windows Server 2003, Windows 2000 oder Windows XP unterstützt wird. In diesem Modus führt der DHCP-Server immer Aktualisierungen des FQDN und der geleaschten IP-Adressinformationen durch, unabhängig davon, ob der Client aufgefordert wurde, eigene Updates durchzuführen.

    Führen Sie die folgenden Schritte aus, um einen DHCP-Server für die Registrierung und Aktualisierung von Clientinformationen mit den konfigurierten DNS-Servern zu konfigurieren:

    1. Öffnen der "DHCP"-Eigenschaften für den Server
    2. Klicken Sie auf DNS, klicken Sie auf "Eigenschaften", wählen Sie das Kontrollkästchen "Dynamische DNS-Updates aktivieren" gemäß den folgenden Einstellungen aus, und klicken Sie dann auf "DNS A- und PTR-Einträge dynamisch aktualisieren".
  • Der DHCP-Server registriert und aktualisiert clientinformationen niemals bei den konfigurierten DNS-Servern.

    Um diese Konfiguration verwenden zu können, muss der DHCP-Server so konfiguriert sein, dass die Leistung von DHCP-/DNS-Proxi-Updates deaktiviert wird. Wenn Sie diese Konfiguration verwenden, werden keine A- oder PTR-Ressourceneinträge für Clienthosts im DNS für DHCP-Clients aktualisiert.

    Führen Sie die folgenden Schritte aus, um den Server so zu konfigurieren, dass Clientinformationen nie aktualisiert werden:

    1. Öffnen Sie die DHCP-Eigenschaften für den DHCP-Server oder einen seiner Bereiche auf dem Windows Server 2003-basierten DHCP-Server.
    2. Klicken Sie auf DNS, klicken Sie auf "Eigenschaften", und deaktivieren Sie dann das Kontrollkästchen "Dynamische DNS-Updates aktivieren".

    Standardmäßig werden Updates immer für neu installierte Windows Server 2003-basierte DHCP-Server und alle neuen Bereiche ausgeführt, die Sie für sie erstellen.

Windows-DHCP-Clients und dns-dynamisches Updateprotokoll

DHCP-Clients, auf denen Windows Server 2003, Windows 2000, Windows XP oder frühere Betriebssysteme ausgeführt werden, können beim Ausführen der DHCP-/DNS-Interaktionen unterschiedlich interagieren. Die folgenden Beispiele zeigen, wie sich dieser Prozess in verschiedenen Fällen unterscheidet.

Beispiel für eine DHCP/DNS-Updateinteraktion für Windows Server 2003-basierte, Windows 2000-basierte und Windows XP-basierte DHCP-Clients

Clients, auf denen Windows Server 2003, Windows 2000 oder Windows XP DHCP ausgeführt wird, interagieren wie folgt mit dem dynamischen DNS-Updateprotokoll:

  1. Der Client initiiert eine DHCP-Anforderungsnachricht (DHCPREQUEST) an den Server. Die Anforderung enthält Option 81.
  2. Der Server gibt eine DHCP-Bestätigungsnachricht (DHCPACK) an den Client zurück. Der Client gewährt eine IP-Adressverleasung und enthält Option 81. Wenn der DHCP-Server mit den Standardeinstellungen konfiguriert ist, teilt Option 81 dem Client mit, dass der DHCP-Server den DNS-PTR-Eintrag registriert und dass der Client den DNS-A-Eintrag registriert.
  3. Asynchron sendet der Client eine DNS-Updateanforderung an den DNS-Server für einen eigenen Forward-Lookup-Eintrag, einen Host-A-Ressourcendatensatz.
  4. Der DHCP-Server registriert den PTR-Eintrag des Clients.

Beispiel für eine DHCP/DNS-Updateinteraktion für Windows-basierte DHCP-Clients, die eine frühere Version von Windows als Windows Server 2003 verwenden

Frühere Versionen von Windows-basierten -DHCP-Clients unterstützen den dynamischen Dns-Updateprozess nicht direkt und können nicht direkt mit dem DNS-Server interagieren. Für diese DHCP-Clients werden Updates in der Regel wie folgt behandelt:

  1. Der Client initiiert eine DHCP-Anforderungsnachricht (DHCPREQUEST) an den Server. Diese Anforderung enthält keine Option 81.
  2. Der Server gibt eine DHCP-Bestätigungsnachricht (DHCPACK) an den Client zurück. Der Client gewährt eine IP-Adressleases ohne Option 81.
  3. Der Server sendet Updates für den Forward-Lookup-Eintrag des Clients, den Host-A-Ressourcendatensatz, an den DNS-Server und sendet ein Update für den PTR-Reverse-Lookup-Eintrag des Clients.

Sichere dynamische Updates

Für Windows Server 2003 ist die Sicherheit von DNS-Updates nur für Zonen verfügbar, die in Active Directory integriert sind. Nach der Integration einer Zone können Sie die Bearbeitungsfunktionen der Zugriffssteuerungsliste (Access Control List, ACL) verwenden, die im DNS-Snap-In verfügbar sind, um Benutzer oder Gruppen aus der Zugriffssteuerungsliste für eine bestimmte Zone oder für einen Ressourcendatensatz hinzuzufügen oder zu entfernen.

For more information, search for the "To modify security for a resource record" topic or the "To modify security for a directory integrated zone" topic in Windows Server 2003 Help.

Standardmäßig wird die Sicherheit dynamischer Updates für Windows Server 2003-DNS-Server und -Clients wie folgt behandelt:

  1. Windows Server 2003-basierte DNS-Clients versuchen zuerst, unsichere dynamische Updates zu verwenden. Wenn das unsichere Update abgelehnt wird, versuchen Clients, ein sicheres Update zu verwenden.

    Außerdem verwenden Clients eine Standardaktualisierungsrichtlinie, mit der sie versuchen können, einen zuvor registrierten Ressourcendatensatz zu überschreiben, es sei denn, sie werden ausdrücklich durch die Updatesicherheit blockiert.

  2. Nachdem eine Zone in Active Directory integriert wurde, ermöglichen Windows Server 2003-basierte DNS-Server standardmäßig nur sichere dynamische Updates.

Wenn Sie Standardzonenspeicher verwenden, aktiviert der DNS -Serverdienst standardmäßig keine dynamischen Updates für seine Zonen. Für Zonen, die entweder verzeichnisintegriert sind oder standardmäßigen dateibasierten Speicher verwenden, können Sie die Zone so ändern, dass alle dynamischen Updates aktiviert werden. Dadurch können alle Updates akzeptiert werden, indem die Verwendung sicherer Updates übergeben wird.

Wichtig

Der DHCP -Serverdienst kann proxyregistrierung und Aktualisierung von DNS-Einträgen für Legacyclients durchführen, die keine dynamischen Updates unterstützen. Weitere Informationen finden Sie im Thema "Verwenden von DNS-Servern mit DHCP" in der Hilfe zu Windows Server 2003.

Wenn Sie mehrere Windows Server 2003-basierte -DHCP-Server in Ihrem Netzwerk verwenden und Ihre Zonen so konfigurieren, dass nur sichere dynamische Updates aktiviert werden, verwenden Sie das Active Directory-Snap-In "Benutzer und Computer", um Die COMPUTER des DHCP-Servers der integrierten Gruppe "DnsUpdateProxy" hinzuzufügen. Wenn Sie dies tun, verfügen alle Ihre DHCP-Server über die sicheren Rechte zum Ausführen von Proxyupdates für einen ihrer DHCP-Clients. Weitere Informationen finden Sie im Thema "Verwenden von DNS-Servern mit DHCP" oder im Thema "Verwalten von Gruppen" in der Windows Server 2003-Hilfe.

Achtung

Die Funktion für sichere dynamische Updates kann beeinträchtigt werden, wenn die folgenden Bedingungen zutreffen:

  • Sie führen einen DHCP-Server auf einem Windows Server 2003-basierten Domänencontroller aus
  • Der DHCP-Server ist für die Registrierung von DNS-Einträgen im Auftrag seiner Clients konfiguriert. Um dieses Problem zu vermeiden, stellen Sie DHCP-Server und Domänencontroller auf separaten Computern zur Verfügung, oder konfigurieren Sie den DHCP-Server für die Verwendung eines dedizierten Benutzerkontos für dynamische Updates. Weitere Informationen finden Sie im Thema "Verwenden von DNS-Servern mit DHCP" in der Hilfe zu Windows Server 2003.

Weitere Informationen finden Sie im Abschnitt "Sicherheitsüberlegungen bei Verwendung der Gruppe "DnsUpdateProxy".

Nur sichere dynamische Updates aktivieren

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf DNS.
  2. Doppelklicken Sie unter DNS auf den entsprechenden DNS-Server, doppelklicken Sie auf Forward-Lookupzonen oder Reverse-Lookupzonen, und klicken Sie dann mit der rechten Maustaste auf die entsprechende Zone.
  3. Klicken Sie auf Eigenschaften.
  4. Überprüfen Sie auf der Registerkarte "Allgemein", ob der Zonentyp active Directory-integriert ist.
  5. Klicken Sie im Feld "Dynamische Updates" auf "Nur sichern".
  6. Klicken Sie auf OK.

Hinweis

Die Funktion für sichere dynamische Updates wird nur für Active Directory-integrierte Zonen unterstützt. Wenn Sie einen anderen Zonentyp konfigurieren, ändern Sie den Zonentyp, und integrieren Sie die Zone, bevor Sie sie für DNS-Updates sichern. Dynamisches Update ist eine RFC-konforme Erweiterung des DNS-Standards. Der Prozess der DNS-Aktualisierung ist in RFC 2136 definiert, "Dynamic Updates in the Domain Name System (DNS UPDATE)".

Verwenden der Sicherheitsgruppe "DnsUpdateProxy"

Sie können einen Windows Server 2003-basierten DHCP-Server so konfigurieren, dass er Host-A- und -PTR-Ressourceneinträge dynamisch im Auftrag von DHCP-Clients registriert. Wenn Sie sichere dynamische Updates in dieser Konfiguration mit Windows Server 2003-basierten DNS-Servern verwenden, sind Ressourceneinträge möglicherweise veraltet.

Betrachten Sie beispielsweise das folgende Szenario:

  1. Ein Windows Server 2003-DHCP-Server (DHCP1) führt ein sicheres dynamisches Update im Namen eines seiner Clients für einen bestimmten DNS-Domänennamen durch.
  2. Da der Name vom DHCP-Server erfolgreich erstellt wurde, wird er zum Besitzer des Namens.
  3. Nachdem der DHCP-Server zum Besitzer des Clientnamens wurde, kann nur der dhcp-Server den Namen aktualisieren.

Unter bestimmten Umständen kann dieses Szenario Probleme verursachen. Wenn beispielsweise DHCP1 ausfällt und ein zweiter Sicherungs-DHCP-Server online ist, kann der Sicherungsserver den Clientnamen nicht aktualisieren, da der Server nicht der Besitzer des Namens ist.

In einem anderen Beispiel wird davon ausgegangen, dass der DHCP-Server dynamische Updates für Legacyclients durchführt. Wenn Sie diese Clients auf Windows Server 2003, Windows 2000 oder Windows XP aktualisieren, kann der aktualisierte Client nicht den Besitz übernehmen oder seine DNS-Einträge aktualisieren.

Zur Lösung dieses Problems wird eine integrierte Sicherheitsgruppe namens "DnsUpdateProxy" bereitgestellt. Wenn alle DHCP-Server der Gruppe "DnsUpdateProxy" hinzugefügt werden, können die Einträge eines Servers von einem anderen Server aktualisiert werden, wenn der erste Server ausfällt. Außerdem werden alle Objekte, die von den Mitgliedern der Gruppe "DnsUpdateProxy" erstellt werden, nicht gesichert. Daher wird der erste Benutzer, der kein Mitglied der Gruppe "DnsUpdateProxy" ist und den Datensatzsatz ändert, der einem DNS-Namen zugeordnet ist, zum Besitzer. Wenn Legacyclients aktualisiert werden, können sie den Besitz ihrer Nameneinträge auf dem DNS-Server übernehmen. Wenn jeder DHCP-Server, der Ressourceneinträge für Legacyclients registriert, Mitglied der Gruppe "DnsUpdateProxy" ist, werden viele Probleme beseitigt.

Hinzufügen von Mitgliedern zur Gruppe "DnsUpdateProxy"

Verwenden Sie das Active Directory-Snap-In "Benutzer und Computer", um die Sicherheitsgruppe "DnsUpdateProxy" zu konfigurieren.

Hinweis

Wenn Sie mehrere DHCP-Server für Fehlertoleranz und sichere dynamische Updates verwenden, fügen Sie jeden Server der globalen Sicherheitsgruppe "DnsUpdateProxy" hinzu.

Sicherheitsüberlegungen bei verwendung der Gruppe "DnsUpdateProxy"

DNS-Domänennamen, die vom DHCP-Server registriert werden, sind nicht sicher, wenn der DHCP-Server Mitglied der Gruppe "DnsUpdateProxy" ist. Der Hostressourcendatensatz (A) für den DHCP-Server selbst ist ein Beispiel für einen solchen Eintrag. Außerdem sind Objekte, die von den Mitgliedern der Gruppe "DnsUpdateProxy" erstellt werden, nicht sicher. Daher können Sie diese Gruppe nicht effektiv in einer Active Directory-integrierten Zone verwenden, die nur sichere dynamische Updates ermöglicht, es sei denn, Sie unternehmen zusätzliche Schritte, um die Sicherung von Datensätzen zu ermöglichen, die von Mitgliedern der Gruppe erstellt werden.

Führen Sie die folgenden Schritte aus, um schutz vor nicht sicheren Datensätzen zu schützen oder Mitgliedern der Gruppe "DnsUpdateProxy" das Registrieren von Datensätzen in Zonen zu ermöglichen, die nur gesicherte dynamische Updates aktivieren:

  1. Erstellen Sie ein dediziertes Benutzerkonto.
  2. Konfigurieren Sie DHCP-Server, um dynamische DNS-Updates mit den Benutzerkontoanmeldeinformationen durchzuführen. (Diese Anmeldeinformationen sind der Benutzername, das Kennwort und die Domäne.)

Die Anmeldeinformationen eines dedizierten Benutzerkontos können von mehreren DHCP-Servern verwendet werden.

Ein dediziertes Benutzerkonto ist ein Benutzerkonto, dessen einziger Zweck die Bereitstellung von Anmeldeinformationen für dns-dynamische Updateregistrierungen ist. Angenommen, Sie haben ein dediziertes Benutzerkonto erstellt und DIE -Server mit den Kontoanmeldeinformationen konfiguriert. Jeder DHCP-Server gibt diese Anmeldeinformationen an, wenn er Namen im Auftrag von DHCP-Clients registriert, die dynamisches DNS-Update verwenden. Das dedizierte Benutzerkonto sollte in der Gesamtstruktur erstellt werden, in der sich der primäre DNS-Server für die zu aktualisierende Zone befindet. Das dedizierte Benutzerkonto kann sich auch in einer anderen Gesamtstruktur befinden. Für die Gesamtstruktur, in der sich das Konto befindet, muss jedoch eine Gesamtstrukturvertrauensstellung mit der Gesamtstruktur eingerichtet sein, die den primären DNS-Server enthält, damit die Zone aktualisiert werden kann.

Wenn der DHCP -Serverdienst auf einem Domänencontroller installiert ist, können Sie den DHCP-Server mithilfe der Anmeldeinformationen des dedizierten Benutzerkontos konfigurieren, um zu verhindern, dass der Server die Leistung des Domänencontrollers erbt und möglicherweise falsch verwendet. Wenn der DHCP -Serverdienst auf einem Domänencontroller installiert ist, erbt er die Sicherheitsberechtigungen des Domänencontrollers. Der Dienst verfügt auch über die Berechtigung zum Aktualisieren oder Löschen von DNS-Einträgen, die in einer sicheren Active Directory-integrierten Zone registriert sind. (Dazu gehören Datensätze, die von anderen Windows 2000- oder Windows Server 2003-basierten Computern und von Domänencontrollern sicher registriert wurden.)

Konfigurieren dynamischer DNS-Updates

Die dynamische Updatefunktionalität, die in Windows Server 2003 enthalten ist, folgt RFC 2136. Das dynamische Update ermöglicht Clients und Servern das Registrieren von DNS-Domänennamen (PTR-Ressourceneinträgen) und IP-Adresszuordnungen (A-Ressourceneinträgen) bei einem RFC 2136-kompatiblen DNS-Server.

Konfigurieren von dynamischen DNS-Updates für DHCP-Clients

Standardmäßig sind Windows Server 2003-basierte, Windows 2000-basierte und Windows XP-basierte DHCP-Clients so konfiguriert, dass sie anfordern, dass der Client den A-Ressourcendatensatz registriert und dass der Server den Ressourcendatensatz PTR registriert. Standardmäßig ist der bei der DNS-Registrierung verwendete Name eine Verkettung des Computernamens und des primären DNS-Suffixes. Um diesen Standardnamen zu ändern, öffnen Sie die TCP/IP-Eigenschaften Ihrer Netzwerkverbindung.

Führen Sie die folgenden Schritte aus, um die Standardeinstellungen für dynamische Updates auf dem dynamischen Updateclient zu ändern:

  1. Doppelklicken Sie in der Systemsteuerung auf "Netzwerkverbindungen".

  2. Klicken Sie mit der rechten Maustaste auf die Verbindung, die Sie konfigurieren möchten, und klicken Sie dann auf "Eigenschaften".

  3. Klicken Sie auf Das Internetprotokoll (TCP/IP), klicken Sie auf "Eigenschaften" und dann auf "Erweitert".

  4. Klicken Sie auf DNS.

    Standardmäßig ist die Adresse dieser Verbindung im DNS registrieren ausgewählt, und das DNS-Suffix dieser Verbindung in der DNS-Registrierung verwenden ist nicht ausgewählt. Diese Standardkonfiguration bewirkt, dass der Client anfordert, dass der Client den A-Ressourcendatensatz registriert, und der Server registriert den PTR-Ressourcendatensatz.

  5. Aktivieren Sie das Kontrollkästchen "DNS-Suffix dieser Verbindung verwenden" in der DNS-Registrierung.

    Der Client wird dann anfordern, dass der Server den PtR-Eintrag mithilfe des FQDN aktualisiert. Wenn der DHCP-Server für die Registrierung von DNS-Einträgen entsprechend der Anforderung des Clients konfiguriert ist, registriert der Client die folgenden Einträge:

    • Der PTR-Eintrag.
    • Der A-Eintrag, der den Namen verwendet, der eine Verkettung des Computernamens und des primären DNS-Suffixes ist.
    • Der A-Eintrag, der den Namen verwendet, der eine Verkettung des Computernamens und des verbindungsspezifischen DNS-Suffixes ist.
  6. Um den Client so zu konfigurieren, dass keine Anforderungen für die DNS-Registrierung gesendet werden, aktivieren Sie das Kontrollkästchen "Diese Verbindung registrieren" im DNS-Kontrollkästchen.

Konfigurieren dynamischer DNS-Updates auf Multi-Homed-Clientcomputern

Wenn ein dynamischer Updateclient multihomed ist, registriert er standardmäßig alle seine IP-Adressen bei DNS. Ein Client ist multihomed, wenn er über mehr als einen Adapter und eine zugeordnete IP-Adresse verfügt. Wenn sie nicht möchten, dass der Client alle seine IP-Adressen registriert, können Sie ihn so konfigurieren, dass er keine oder mehrere IP-Adressen in den Netzwerkverbindungseigenschaften registriert.

Führen Sie die folgenden Schritte aus, um zu verhindern, dass der Computer alle seine IP-Adressen registriert:

  1. Doppelklicken Sie in der Systemsteuerung auf "Netzwerkverbindungen".
  2. Klicken Sie mit der rechten Maustaste auf die Verbindung, die Sie konfigurieren möchten, und klicken Sie dann auf "Eigenschaften".
  3. Klicken Sie auf Das Internetprotokoll (TCP/IP), klicken Sie auf "Eigenschaften" und dann auf "Erweitert".
  4. Klicken Sie auf DNS.
  5. Klicken Sie auf dieses Kontrollkästchen, um die Adresse dieser Verbindung im DNS zu registrieren.

Sie können den Computer auch so konfigurieren, dass sein Domänenname im DNS registriert wird. Wenn Sie beispielsweise über einen Client verfügen, der mit zwei verschiedenen Netzwerken verbunden ist, können Sie den Client so konfigurieren, dass er in jedem Netzwerk einen anderen Domänennamen hat.

Konfigurieren dynamischer DNS-Updates auf einem Windows Server 2003-basierten DHCP-Server

Führen Sie die folgenden Schritte aus, um das dynamische DNS-Update für einen Windows Server 2003-basierten DHCP-Server zu konfigurieren:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf DHCP.

  2. Klicken Sie mit der rechten Maustaste auf den entsprechenden DHCP-Server oder -Bereich, und klicken Sie dann auf "Eigenschaften".

  3. Klicken Sie auf DNS.

  4. Aktivieren Sie das Kontrollkästchen "Dynamische DNS-Updates aktivieren" gemäß den folgenden Einstellungen, um dynamisches DNS-Update für Clients zu aktivieren, die dynamische Updates unterstützen.

    Hinweis

    Dieses Kontrollkästchen ist standardmäßig aktiviert.

  5. Aktivieren Sie zum Aktivieren des dynamischen DNS-Updates für DHCP-Clients, die dies nicht unterstützen, das Kontrollkästchen "DNS A- und PTR-Einträge dynamisch aktualisieren" für DHCP-Clients, die keine Updates anfordern (z. B. Clients, auf denen Windows NT 4.0 ausgeführt wird).

  6. Klicken Sie auf OK.

Aktivieren dynamischer DNS-Updates auf einem DNS-Server

Auf einem Windows Server 2003-basierten DHCP-Server können Sie die DNS-Einträge für Clients vor Windows Server 2003 dynamisch aktualisieren, die dies nicht selbst tun können.

Führen Sie die folgenden Schritte aus, um einem DHCP-Server das dynamische Aktualisieren der DNS-Einträge seiner Clients zu ermöglichen:

  1. Wählen Sie in der DHCP-Verwaltungskonsole den Bereich oder den DHCP-Server aus, für den Sie die DNS-Updates aktivieren möchten.
  2. Klicken Sie im Menü "Aktion" auf "Eigenschaften" und dann auf "DNS".
  3. Aktivieren Sie das Kontrollkästchen zum Aktivieren von dynamischen DNS-Updates gemäß den folgenden Einstellungen.
  4. Wenn Sie die DNS-Einträge eines Clients basierend auf dem Typ der vom Client gesendeten DHCP-Anforderung aktualisieren möchten, klicken Sie auf "Dynamisches Aktualisieren von DNS-A- und PTR-Einträgen, wenn sie von den DHCP-Clients angefordert werden". (Dieses Update wird nur ausgeführt, wenn der Client eine Anforderung stellt.)
  5. Wenn Sie die Forward- und Reverse-Lookup-Einträge eines Clients immer aktualisieren möchten, klicken Sie auf "DNS A- und PTR-Einträge immer dynamisch aktualisieren".
  6. Aktivieren Sie das Kontrollkästchen "A- und PTR-Einträge verwerfen", wenn die Lease gelöscht wird, damit der DHCP-Server den Eintrag für einen Client löscht, wenn seine DHCP-Lease abläuft und nicht verlängert wird.

Deaktivieren dynamischer DNS-Updates

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base zu sehen:
322756 Sichern und Wiederherstellen der Registrierung in Windows

Standardmäßig sind dynamische Updates auf Windows Server 2003-basierten Clients konfiguriert. Führen Sie die folgenden Schritte aus, um dynamische Updates für alle Netzwerkschnittstellen zu deaktivieren:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. Zeigen Sie im Menü "Bearbeiten" auf "Neu", und klicken Sie dann auf den DWORD-Wert.

  4. Geben Sie DisableDynamicUpdate ein, und drücken Sie dann zweimal die EINGABETASTE.

  5. Geben Sie im Feld "DWORD-Wert bearbeiten" im Feld "Wert" den Wert "1" ein, und klicken Sie dann auf "OK".

  6. Beenden Sie den Registrierungs-Editor.

Führen Sie die folgenden Schritte aus, um dynamische Updates für eine bestimmte Schnittstelle zu deaktivieren:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
  2. Suchen Sie den folgenden Registrierungsunterschlüssel, und klicken Sie darauf: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

    Hinweis

    ist die Geräte-ID des Netzwerkadapters für die Schnittstelle, für die Sie das dynamische Update deaktivieren möchten.

  3. Zeigen Sie im Menü "Bearbeiten" auf "Neu", und klicken Sie dann auf den DWORD-Wert.
  4. Geben Sie DisableDynamicUpdate ein, und drücken Sie dann zweimal die EINGABETASTE.
  5. Geben Sie im Feld "DWORD-Wert bearbeiten" im Feld "Wert" den Wert "1" ein, und klicken Sie dann auf "OK".
  6. Beenden Sie den Registrierungs-Editor.