dns动态更新.docx
- 文档编号:2866263
- 上传时间:2023-05-04
- 格式:DOCX
- 页数:17
- 大小:26.14KB
dns动态更新.docx
《dns动态更新.docx》由会员分享,可在线阅读,更多相关《dns动态更新.docx(17页珍藏版)》请在冰点文库上搜索。
dns动态更新
如何解决DNS动态更新问题
一.概述
1.1概念及术语
DNS动态更新:
指的是当计算机对应主机名及IP地址发生变动,能自动更新DNS服务器上的A记录或者PTR记录。
A记录:
DNS正向区域记录类型一种,主机名到设备映射关系。
例如通过一条A记录就可以将设备名称及IP地址关联在一起。
PTR:
DNS反向记录一种,与A记录相反,PTR是IP地址到主机名的映射关系,例如通过PTR记录,就可以通过IP地址查询设备名称。
1.2常见场景
我们在使用DNS服务的时候,一般有以下2种常见部署环境
1、 工作组环境,使用DNS服务器的设备,只是使用DNS服务器的域名查询记录,如通过该台DNS服务器实现对intetnet域名的解析功能,此时如果不做额外的配置,此时在DNS服务器对应的正向及反向查找区域中,是不会产生对应A记录及PTR记录。
2、 域环境:
则截然不同,在AD环境,必须要配置正确DNS服务器,而且必须通过DNS服务器来实现对DC的查找,从而实现登陆计算机。
所以此时在DNS服务器正向区域中,必须存在对应的A记录。
二.问题描述
现用户方环境:
部署一台DC,同时该设备同时承担DNS、DHCP角色,同时客户端IP地址由DHCP服务器提供。
在DNS正向区域中,发现大量的重复A记录,同时发现部分过期的DNS记录,执行手动清理后,依然发现存在上述情况。
三.处理方式
综合上述情况分析,需要对DNS服务器及DHCP服务器,及DC服务器一一做分析,判断问题出现位置,进而找寻解决方式。
3.1检查DHCP服务器工作情况
打开DHCP服务器控制台,执行以下步骤
1、 选取一台设备,作为测试机器,手动执行ipconfig/renew操作,检查设备能否正确获取到IP地址,检查DHCP服务器DHCP功能是否正常。
2、 确认无误后,执行ip地址排除操作,即通过排除功能,“手动”给该设备通过DHCP分配特定的IP地址,然后在该设备上执行ipconfig/renew,检查设备能否通过上述操作获取到特定的IP地址,从而来模拟DHCP动态更新操作。
3.2检查DNS服务器工作情况
打开DNS服务控制台,执行以下步骤
1、选择测试设备,删除对应的A记录,然后执行ipconfig/registerdns操作,检查是否能生成新的A记录。
3.3检查DC服务器工作情况
打开DC管理控制台,执行以下操作
1、 选择一台新设备,执行加入域操作,待加入域成功后,重启该设备。
检查计算机内,能否正常出现一台计算机。
2、 而后打开DNS控制台,检查是否在DNS正向区域列表中出现对应的A记录。
3.4核实客户端DNS更新功能
打开测试设备的网卡TCP/ip属性-DNS属性处,是否勾选“在DNS服务器上注册此连接的地址。
”
四.处理结果
通过检查DNS及DHCP及DC设置,发现DHCP、DNS、DC均能正常工作,经过确认出现该问题的本质原因是:
1、 原先用户处使用固定IP地址,发现经常出现IP地址冲突后,改用DHCP方式,从而出现大量IP地址出现变更。
2、 由于大量的IP地址出现变更,DNS动态更新设置,将自动产生新的A记录,这样就存在大量的重复的A记录
3、 然而用户方没有配置清理过期的历史记录设置,导致大量的过期记录存在,从而导致大量过期及重复记录存在。
五.配置要点
1、 检查DHCP服务器属性DNS栏目处,确认是否勾选动态更新类型为始终更新还是仅DHCP更新时更新。
2、 如果DNS服务器和DHCP为单独的服务器,建议配置DNS更新凭据。
3、 如果出现大量的过期记录,建议开启自动清理过期记录功能。
六.工作组环境中如何在DNS正向区域中产生A记录
我们在上面提到,如何在工作组环境,是不会在特定的正向区域中产生A记录的,我们可以通过以下的变通的方式做到:
1、 打开测试设备的网卡TCP/ip属性-DNS属性处,是否勾选“在DNS服务器上注册此连接的地址。
2、 在此链接使用的DNS后缀名中填写“DNS后缀名””
3、 通过勾选“在DNS注册中使用此链接DNS的后缀选项即可。
”
附:
DNS A记录,是DNS注册机制使然,加入域的操作,本质上是不会产生A记录信息,只是会在AD用户及计算机处,出现一台计算机设备。
DNS动态更新
2010-02-0215:
11:
59| 分类:
Windows| 标签:
|字号大中小 订阅
本文介绍了如何在WindowsServer2003中配置DNS动态更新功能。
利用DNS动态更新功能,DNS客户端计算机能够注册到DNS服务器并在每次发生更改时动态更新其资源记录。
使用此功能可以减少对区域记录进行手动管理的需要,尤其是对于经常移动并使用“动态主机配置协议”(DHCP)获取“Internet协议”(IP)地址的客户端更是如此。
WindowsServer2003提供了对动态更新功能的支持,如“请求注释”(RFC)2136中所述。
对于DNS服务器,DNS服务允许您在每个配置为加载标准主区域或目录集成区域的服务器上按区域启用或禁用DNS动态更新功能。
回到顶端
WindowsServer2003DNS动态更新功能
客户端计算机可通过DNS服务在DNS中动态更新其资源记录。
使用此功能可以减少手动管理区域记录所需的时间,从而改进了DNS管理。
您可以将DNS动态更新功能与DHCP结合使用,以便在计算机的IP地址更改时更新资源记录。
运行WindowsServer2003的计算机可以发送动态更新。
WindowsServer2003提供了下列与DNS动态更新协议相关的功能:
?
支持将ActiveDirectory目录服务用作域控制器的定位器服务。
?
与ActiveDirectory集成。
可以将DNS区域集成到ActiveDirectory中以提供增强的容错功能和安全性。
每个ActiveDirectory集成的区域都在ActiveDirectory域中的所有域控制器中进行复制。
在这些域控制器上运行的所有DNS服务器都可以充当该区域的主服务器并接受动态更新。
ActiveDirectory复制以属性为基础进行,并只传播相关的更改。
?
支持老化和清理记录。
DNS服务可以扫描并删除不再需要的记录。
启用此功能可以防止在DNS中保留陈旧记录。
?
支持在ActiveDirectory集成的区域中进行安全动态更新。
您可以为ActiveDirectory集成的区域配置安全动态更新,以便只允许授权用户更改区域或记录。
?
在命令提示符下进行管理。
?
增强的名称解析。
?
增强的缓存和否定缓存。
?
可以与其他DNS服务器实现进行互操作。
?
与其他网络服务集成。
?
增量区域复制。
回到顶端
基于WindowsServer2003的计算机如何更新其DNS名称
默认情况下,运行WindowsServer2003并以静态方式配置了TCP/IP的计算机尝试动态注册由其安装的网络连接配置和使用的IP地址的主机地址(A)和指针(PTR)资源记录。
默认情况下,所有计算机注册记录均基于其完整的计算机名。
对于WindowsServer2003计算机,主要完整计算机名(一个完全合格的域名[FQDN])是附加到计算机名的计算机的主DNS后缀。
要确定计算机的主DNS后缀和计算机名,请右键单击“我的电脑”,单击“属性”,然后单击“计算机名”。
动态更新可以根据以下任一原因或事件发送:
?
在已安装的任一网络连接的TCP/IP属性配置中添加、删除或修改了IP地址。
?
IP地址租约通过DHCP服务器更改或续订了任一已安装的网络连接。
例如,当计算机启动时,或者您使用ipconfig/renew命令时。
?
使用ipconfig/registerdns命令手动强制在DNS中刷新客户端名称注册。
?
启动时,即打开计算机时。
?
成员服务器升级为域控制器。
当以上事件之一触发动态更新时,DHCP客户端服务(而非DNS客户端服务)将发送更新。
如果由于DHCP而导致IP地址信息发生更改,DNS中会执行对应的更新,以同步计算机的名称到地址映射。
DHCP客户端服务为系统中的所有网络连接(包括未配置为使用DHCP的连接)执行此功能。
注意:
?
使用DHCP获取其IP地址的基于WindowsServer2003的计算机的动态更新过程与本部分介绍的过程有所不同。
有关更多信息,请参阅本文的将DHCP与DNS集成部分和WindowsDHCP客户端和DNS动态更新协议部分。
?
本部分介绍的更新过程假定WindowsServer2003安装默认值有效。
如果将高级TCP/IP属性配置为使用非默认DNS设置,则可以调整特定名称和更新行为。
?
除计算机的完整计算机名(或主要名称)以外,您可以配置其他特定于连接的DNS名称,也可以在DNS中注册或更新它们。
动态更新工作原理的示例
对于WindowsServer2003,当计算机的DNS名称或IP地址更改时,通常会请求动态更新。
例如,名为“oldhost”的客户端最初在系统属性中配置为使用以下名称:
计算机名:
oldhost
计算机的DNS域名:
完整计算机名:
在本示例中,没有为计算机配置连接特定的DNS域名。
如果将计算机从“oldhost”重命名为“newhost”,将发生以下名称更改:
计算机名:
newhost
计算机的DNS域名:
完整计算机名:
在系统属性中应用名称更改后,WindowsServer2003将提示您重新启动计算机。
计算机重新启动Windows后,DHCP客户端服务将按顺序执行以下步骤以更新DNS:
1.DHCP客户端服务使用计算机的DNS域名发送起始授权机构(SOA)类型查询。
客户端计算机使用计算机当前配置的FQDN(如“”)作为此查询中指定的名称。
2.区域中包含此客户端FQDN的权威性DNS服务器响应此SOA类型查询。
对于标准的主要区域,在SOA查询中返回的主服务器(所有者)是固定和静态的。
它始终与准确的DNS名称相匹配,因为该名称显示在区域中存储的SOA资源记录中。
然而,如果正在更新的区域是目录集成的区域,则任何正在加载此区域的DNS服务器都可以响应此SOA查询并在SOA查询响应中插入它自己的名称作为此区域的主服务器(所有者)。
3.DHCP客户端服务尝试联系主DNS服务器。
客户端处理对其名称的SOA查询的响应,以确定被授权作为接受其名称的主服务器的DNS服务器的IP地址。
如有必要,客户端将继续执行以下过程,以联系并动态更新其主服务器:
a. 客户端向在SOA查询响应中确定的主服务器发送一个动态更新请求。
如果更新成功,则不执行其他操作。
b. 如果此更新失败,则客户端接下来针对在SOA记录中指定的区域名称发送一个NS类型查询。
c. 客户端在收到此查询的响应时,将向此响应中列出的第一个DNS服务器发送SOA查询。
d. 解析此SOA查询后,客户端将向在返回的SOA记录中指定的服务器发送动态更新。
如果更新成功,则不执行其他操作。
e. 如果此更新失败,则客户端将通过向在响应中列出的下一个DNS服务器发送动态更新来重复SOA查询过程。
4.联系到可以执行更新的主服务器后,客户端将发送更新请求,然后服务器处理该请求。
更新请求的内容包括指示添加“”的A(以及可能的PTR)资源记录并删除“”(先前注册的名称)的这些相同的记录类型。
服务器还将进行检查以确保允许根据客户端请求进行更新。
对于标准的主要区域,动态更新是不安全的并且任何客户端的更新尝试都会成功。
对于ActiveDirectory集成的区域,更新是安全的并且使用基于目录的安全设置执行更新。
动态更新定期发送或刷新。
默认情况下,计算机每7天发送一次刷新。
如果发生更新而区域数据未更改,则区域仍保持其当前版本并且不写入更改。
仅当名称或地址实际更改时,才会传输导致实际区域更改或增大区域的更新。
注意:
处于非活动状态或在刷新间隔(7天)中未更新的名称将不从DNS区域中删除。
DNS不通过某种机制来释放或删除名称,尽管DNS客户端的确在应用新名称或地址更改后尝试删除或更新旧名称记录。
DHCP客户端服务在注册WindowsServer2003计算机的A和PTR资源记录时,对主机记录使用默认的缓存生存期(TTL)值,即15分钟。
该值决定其他DNS服务器和客户端对包含在查询响应中的计算机的记录进行缓存的时间长度。
将DHCP与DNS集成
使用WindowsServer2003,DHCP服务器可以在DNS名称空间中为支持动态更新的任何客户端启用动态更新。
作用域客户端可以在DHCP为其分配的地址发生更改时,使用DNS动态更新协议更新其主机名到地址映射信息。
(此映射信息存储在DNS服务器上的区域中。
)WindowsServer2003DHCP服务器可以代表其DHCP客户端对任何DNS服务器执行更新。
DHCP/DNS更新交互的工作原理
您可以使用DHCP服务器代表其启用了DHCP的客户端注册和更新PTR和A资源记录。
执行此操作时,您必须使用另一DHCP选项,即“客户端FQDN”选项(选项81)。
此选项允许客户端提供其FQDN并指示DHCP服务器如何代表它处理DNS动态更新(如果有更新)。
当合格的DHCP客户端(如运行WindowsServer2003、MicrosoftWindows2000或MicrosoftWindowsXP并启用了DHCP的计算机)发出此选项后,WindowsServer2003DHCP服务器将处理并解释此选项,以确定如何代表该客户端初始化更新。
例如,您可以使用以下任一配置来处理客户端请求:
?
根据客户端请求,DHCP服务器通过其配置的DNS服务器注册和更新客户端信息。
这是WindowsServer2003DHCP服务器和运行WindowsServer2003、Windows2000或WindowsXP的客户端的默认配置。
在此模式下,任何WindowsDHCP客户端都可以指定DHCP服务器更新其主机A和PTR资源记录的方式。
如果可能,DHCP服务器将接受客户端对其DNS中的名称和IP地址信息进行更新的处理请求。
要将DHCP服务器配置为根据客户端的请求注册客户端信息,请打开服务器或单个作用域的DHCP属性,单击“DNS”选项卡,单击“属性”,然后单击“只有在DHCP客户端请求时才动态更新DNSA和PTR记录”复选框,将其选中。
?
DHCP服务器始终通过其配置的DNS服务器注册和更新客户端信息。
这是修改后的配置,WindowsServer2003DHCP服务器和运行WindowsServer2003、Windows2000或WindowsXP的客户端均支持该配置。
在此模式下,DHCP服务器始终对客户端的FQDN和租用的IP地址信息(包括其主机A和PTR资源记录)执行更新,而不管客户端是否已请求执行它自身的更新。
要将DHCP服务器配置为通过其配置的DNS服务器注册和更新客户端信息,请打开服务器的DHCP属性,单击“DNS”,单击“属性”,单击“根据下面的设置启用DNS动态更新”复选框,然后单击“总是动态更新DNSA和PTR记录”。
?
DHCP服务器从不通过其配置的DNS服务器注册和更新客户端信息。
要使用此配置,必须将DHCP服务器配置为禁止执行DHCP/DNS代理更新。
使用此配置时,将不更新DHCP客户端的DNS中的客户端主机A或PTR资源记录。
要将服务器配置为从不更新客户端信息,请打开DHCP服务器或它在WindowsServer2003DHCP服务器上的某个作用域的DHCP属性,单击“DNS”,单击“属性”,然后清除“根据下面的设置启用DNS动态更新”复选框。
默认情况下,始终对新安装的WindowsServer2003DHCP服务器和为其创建的任何新作用域执行更新。
WindowsDHCP客户端和DNS动态更新协议
运行WindowsServer2003、Windows2000或WindowsXP的DHCP客户端与运行早期版本的操作系统的DHCP客户端在执行DHCP/DNS交互方式时存在差别。
以下示例说明了此过程在不同情况下的差别。
WindowsServer2003、Windows2000和WindowsXPDHCP客户端的DHCP/DNS更新交互的示例
WindowsServer2003、Windows2000和WindowsXPDHCP客户端按以下方式与DNS动态更新协议进行交互:
1.客户端向服务器初始化一个DHCP请求消息(DHCPREQUEST)。
该请求包含选项81。
2.服务器向客户端返回DHCP确认消息(DHCPACK),该消息向客户端授予IP地址租约,并包含选项81。
如果DHCP服务器的配置为默认设置,则选项81告知客户端:
DHCP服务器将注册DNSPTR记录,客户端将注册DNSA记录。
3.客户端向DNS服务器异步发送一个DNS更新请求,请求更新它自身的正向查找记录(主机A资源记录)。
4.DHCP服务器注册客户端的PTR记录。
使用WindowsServer2003以前的Windows版本的WindowsDHCP客户端的DHCP/DNS更新交互的示例
早期版本的WindowsDHCP客户端不直接支持DNS动态更新过程,并且无法与DNS服务器直接交互。
对于这些DHCP客户端,通常按以下方式处理更新:
1.客户端向服务器初始化一个DHCP请求消息(DHCPREQUEST)。
该请求不包含选项81。
2.服务器向客户端返回DHCP确认消息(DHCPACK),该消息向客户端授予IP地址租约,但不包含选项81。
3.服务器向DNS服务器发送客户端的正向搜索记录(主机A资源记录)更新,服务器还发送客户端的PTR反向搜索记录更新。
安全动态更新
对于WindowsServer2003,只有已集成到ActiveDirectory的区域才可以获得DNS更新安全性。
将区域集成到目录后,您可以使用DNS管理单元中提供的访问控制列表(ACL)编辑功能在特定区域或资源记录的ACL中添加或删除用户或组。
有关更多信息,请参阅WindowsServer2003帮助,并搜索Tomodifysecurityforaresourcerecord(修改资源记录的安全性)或Tomodifysecurityforadirectoryintegratedzone(修改目录集成区域的安全性)。
默认情况下,按以下方式处理WindowsServer2003DNS服务器和客户端的动态更新安全性:
1.WindowsServer2003DNS客户端首先尝试使用不安全的动态更新。
如果不安全的更新被拒绝,则客户端尝试使用安全更新。
此外,客户端还使用允许它们尝试覆盖先前注册的资源记录的默认更新策略,除非更新安全性明确禁止这些客户端。
2.当区域成为ActiveDirectory集成区域后,WindowsServer2003DNS服务器在默认情况下只允许安全动态更新。
使用标准区域存储时,DNS服务器服务在默认情况下不允许对其区域进行动态更新。
对于目录集成的区域或使用基于标准文件的存储的区域,您可以将区域更改为允许所有动态更新。
这样,即可通过使用安全更新来接受所有更新。
重要说明:
“DHCP服务器”服务可以为不支持动态更新的旧式客户端执行代理注册和DNS记录更新。
有关更多信息,请参阅WindowsServer2003帮助,并搜索UsingDNSserverswithDHCP(通过DHCP使用DNS服务器)。
如果在网络上使用多个WindowsServer2003DHCP服务器,并将区域配置为只允许安全动态更新,请使用“ActiveDirectory用户和计算机”管理单元将DHCP服务器计算机添加到内置的DnsUpdateProxy组。
这样,所有DHCP服务器都将拥有为任何DHCP客户端执行代理更新的安全权限。
有关更多信息,请参阅WindowsServer2003帮助,并搜索UsingDNSserverswithDHCP(通过DHCP使用DNS服务器)或Managegroups(管理组)。
注意:
在WindowsServer2003中,如果在域控制器上运行DHCP服务器,并将WindowsServer2003DHCP服务器配置为代表其客户端执行DNS记录注册,则可能会对安全动态更新功能造成负面影响。
要避免此问题,请将DHCP服务器和域控制器部署在不同的计算机上,或配置DHCP使用专用的用户帐户进行动态更新。
有关更多信息,请参阅WindowsServer2003帮助,并搜索UsingDNSserverswithDHCP(通过DHCP使用DNS服务器)。
有关更多信息,请参阅本文的使用DnsUpdateProxy组时的安全注意事项部分中列出的文件版本,则无需这些更新。
只允许安全动
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- dns 动态 更新
![提示](https://static.bingdoc.com/images/bang_tan.gif)