整合 Windows DNS 至現有的 DNS 命名空間

本文說明如何將 Windows DNS 整合至已具備 DNS 命名空間的組織,而該伺服器是以 Active Directory 網功能變數名稱稱授權之區域的 DNS 伺服器不支援 RFC 2136 (動態更新) 。

原始產品版本:  Windows Server 2012 R2
原始 KB 編號:  255913

摘要

Windows 網域名稱系統) (的一個功能是其動態主機更新的支援, (RFC 2136) 中所述。 若要利用這項功能,可以在沒有其他 DNS 伺服器的環境中部署 Windows DNS,也可以在已具有非動態 DNS (伺服器(如 BIND 4.9.7 及更早版本)的環境中部署 Windows DNS,如此) 。 當您在已實現 BIND 伺服器的環境中部署 Windows DNS 時,您有數個整合選項:

  • 將區域從非動態授權 DNS 伺服器遷移至執行 Windows DNS 的伺服器。
  • 在父 DNS 網域底下委派子 DNS 網域。 對於不具有與區域根目錄同名的 Active Directory 功能變數名稱,請將子域委派給 Windows DNS。 例如,如果 Active Directory 網域的名稱是 dev.reskit.com ,且包含此名稱的區域是,則會 reskit.com 委派 dev.reskit.com 至執行 DNS 的 Windows server。
  • 委派網域控制站所使用的每個子域 (DC) 定位器記錄 (SRV 記錄) 到 Windows server。 這些子域是 _msdcs.reskit.com_sites.reskit.com_tcp.reskit.com_udp.reskit.com 。 使用此選項會在 Active Directory 功能變數名稱 (例如, reskit.com) 與區域根的名稱相同 (例如, reskit.com) ,不能直接委派至執行 DNS 的 Windows server。 另外,用戶端可能是稱為 Active Directory 網域的成員 reskit.com ,但可以在名為的 DNS 區域中註冊 dynamic.reskit.com

本文說明以上所列的第四個選項,如何將 Windows DNS 整合至已具備 DNS 命名空間的組織,而該伺服器是以 Active Directory 網功能變數名稱稱為之區域的授權 DNS 伺服器不支援 RFC 2136 (動態更新) 。 本文也討論一種案例,當具有 Active Directory 網功能變數名稱稱之區域的 DNS 伺服器的 DNS 伺服器不支援動態 DNS 更新時,當 Windows 電腦具有 Active directory 網功能變數名稱稱的 dns 伺服器授權時,此案例會使用不同于 Active Directory 網功能變數名稱稱的主要 DNS 尾碼,以允許 Windows 電腦動態註冊 DNS 記錄。

詳細資訊

若要將 Windows DNS 整合至以非動態 DNS 伺服器為基礎的現有命名空間,您可以委派定位器記錄所使用的子域 (SRV 記錄) ,以便可以使用 (根據 RFC 2136) 的動態更新。 依照下列步驟執行:

  1. 在具有 Active Directory 網功能變數名稱稱之區域的具有管理權的非動態 DNS 伺服器上,將下欄區域委派至執行 DNS 之 Windows 2000 伺服器的伺服器:

    _udp。 DNSDomainName
    _tcp。 DNSDomainName
    _sites。 DNSDomainName
    _msdcs。 DNSDomainName

    例如,如果根區域是呼叫 reskit.com 、委派、、 _udp.reskit.com _tcp.reskit.com _sites.reskit.com_msdcs.reskit.com 以 Windows 為基礎的伺服器。

    您必須委派另外兩個子域:

    ForestDnsZones. ForestDNSName
    DomainDnsZones. DNSDomainName

  2. 在 Windows server 上,建立步驟1中委派的正向區域,並啟用動態更新區域。

    若要建立新的區域:

    1. 在 Windows server 上啟動 DNS 管理員。

    2. 在 DNS 管理員中擴充適當的 DNS 伺服器。

    3. 在 [正向對應區域] 資料夾上按一下滑鼠右鍵,然後按一下 [新增區域]。

    4. 當 [新增區域] 嚮導啟動時,按 [下一步],選取 [主要區域],然後選取 [將區域儲存在 Active Directory] 核取方塊,然後按 [下一步]。

    5. 針對 AD 整合區域,選取區域資料應該移至何處:網域或樹系中的所有 DNS 伺服器,或是網域中的所有網域 (僅限 Windows 2000) 中的選項。

    6. 在 [名稱] 方塊中,輸入區域的名稱。 例如,輸入 _msdcs .com。

    7. 按 [下一步]。 檢查嚮導的摘要之後,按一下 [完成]。

    若要讓區域接受動態更新,請執行下列動作:

    1. 在執行 DNS 的 Windows server 上使用 DNS 管理員,以滑鼠右鍵按一下新區域,按一下 [內容],然後按一下 [一般] 索引標籤。
    2. 在 [允許動態更新] 方塊中,按一下 [僅安全更新 (建議) ] 或 [是]。 只有在伺服器提升為網域控制站之後,才可以使用 [安全更新] 選項。 重複此程式,直到已建立步驟1所述的四個區域,並允許動態更新為止。 這可讓您在 DNS 中動態登錄和取消註冊網域控制站定位器記錄。
  3. 此外,也可以建立一個或多個區域,以允許用戶端和伺服器在 Windows server 上動態註冊。 例如,被叫用的區域可 dynamic.reskit.com 用於透過動態更新登錄網路上的所有用戶端和伺服器。 若要設定這樣的區域:

    1. 在父區域之授權的非動態 DNS 伺服器上 (例如, reskit.com) 、將新區域委派給執行 DNS 的 Windows server。 例如,代理人 dynamic.reskit.com 。 區域的 Windows server。
    2. 在 Windows server 上,建立以上 () 所委派區域的正向對應區域 dynamic.reskit.com
    3. 在 Windows server 上,啟用區域 (s) 以進行動態更新。
  4. 當 Windows 網域控制站啟動時,Netlogon 服務會嘗試在授權區域中註冊數個 SRV 記錄。 由於即將註冊 SRV 記錄的區域已委派 (,但) 步驟1和2中已委派,所以這些註冊會成功。 此外,DC 會嘗試註冊 A A record (s) 列于根區域的 dns 檔案中 (例如 reskit.com) 。 在此情況下,由於根區域位於非動態 DNS 伺服器上,所以這些更新不會成功。 下列事件會產生在 DC 上的系統記錄中:

    事件種類:警告
    事件來源: NETLOGON
    事件類別:無
    事件 ID: 5773
    日期: <DateTime>
    時間: <DateTime>
    使用者: N/A
    電腦: DC
    描述:
    此 DC 的 DNS 伺服器不支援動態 DNS。 將檔案%SystemRoot%\System32\Config\netlogon.dns 中的 DNS 記錄新增到提供該檔案中所參照之網域的 DNS 伺服器。

    若要修正此行為:

    1. 每個 Windows DC 都有一個位於其%SystemRoot%\System32\Config 資料夾中的 Netlogon dns 檔案。 此檔案包含當 Netlogon 服務啟動時,DC 會嘗試註冊的 DNS 記錄清單。 建議您在進行下列變更之前,先製作一份此檔案的複本,這樣您就會有一份原始記錄的清單,該 DC 會嘗試向 DNS 伺服器註冊。 請注意,每個 DC 都有不同的記錄,因為這些記錄是個別 DC 上的每個網路介面卡所特有的。 檢查 Netlogon dns 檔案,以識別檔案中的所有記錄。 您可以依據 "IN" 類別描述器後面的記錄類型來識別記錄。 例如,下列兩個專案為記錄:

      reskit.com. 10.10.10.10 中的600
      gc._msdcs.reskit.com. 10.10.10.10 中的600

      Netlogon dns 檔案中的記錄數目取決於 DC 具有的配接器數目、每個配接器已設定的 IP 位址數目,以及 DC 的角色。 Dc 註冊:

      • 每個 IP 位址針對功能變數名稱的每一個 A 記錄。
      • 如果 DC 也是 (GC) 伺服器的通用類別目錄,它會註冊 gc._msdcs。 每個 IP 位址的 DnsForestName
    2. 因為非動態 DNS 伺服器不會接受網域控制站嘗試動態註冊 A 記錄,所以在本文範例中,必須手動設定 A 記錄在授權 DNS 伺服器上 ((此為區域) 的 DNS 伺服器授權) reskit.com 。 加入與 (網功能變數名稱稱相對應的 A 記錄(例如, reskit.com Windows 部署不需要) ),而且在不支援 SRV DNS 記錄的協力廠商 LDAP 用戶端搜尋 Windows dc 時,可能會需要此記錄。

      在 Windows server 上,建立在步驟 A 中識別的 GC 伺服器特有的記錄,在適當的區域中。 例如,在 _msdcs .com 區域中建立 GC 伺服器的 A 記錄。

      在對區域根具有管理權的非動態 DNS 伺服器上,在 [根區域] 中建立記錄 (例如, reskit.com 針對步驟 A 中識別的非垃圾回收伺服器特有的記錄) 。例如,在區域中建立 A 記錄 reskit.com reskit.com

    3. 下列登錄機碼應該用來停用 DC,以嘗試登錄在 Netlogon dns 檔案中所看到的 A 記錄。 將 REG_DWORD 的 RegisterDnsARecords 值設為 0 (零) 下列:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  5. 若要更正此行為:當您已就地使用 Active Directory 樹系和網域時,應將 Active Directory 與執行 DNS 所負責的 Windows server 所負責的 DNS 網域整合。 此外,您應該重新設定已設定為接受動態更新的區域,只接受安全的動態更新。