Ein DHCP-Server unter Windows Server 2008 kann im DNS-Namespace dynamische Updates für jeden Client aktivieren, der diese Updates unterstützt. Bereichsclients können das Protokoll für das dynamische DNS-Update verwenden, um ihre Zuordnungsinformationen von Hostnamen zu Adressen zu aktualisieren, wann immer sich ihre von DHCP zugewiesene Adresse ändert. (Diese Zuordnungsinformationen werden in Zonen auf dem DNS-Server gespeichert.) Ein DHCP-Server, der auf Windows Server 2008 basiert, kann im Namen seiner DHCP-Clients Updates auf jedem beliebigen DNS-Server ausführen.

Funktionsweise der DHCP/DNS-Updateinteraktion

Sie können den DHCP-Server verwenden, um die PTR- und A-Ressourceneinträge im Namen der DHCP-fähigen Clients des Servers zu registrieren und zu aktualisieren. Sie müssen in diesem Fall eine zusätzliche DHCP-Option verwenden: die Client-FQDN-Option (Option 81). Durch diese Option wird der Client angewiesen, seinen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) im DHCPREQUEST-Paket an den DHCP-Server zu senden. Der Client kann auf diese Weise den DHCP-Server darüber benachrichtigen, welche Dienstebene er benötigt.

Die FQDN-Option umfasst die folgenden sechs Felder:

  1. Code – Gibt den Code für diese Option (81) an.

  2. Len – Gibt die Länge dieser Option an. (Der Wert muss mindestens 4 betragen.)

  3. Flags – Gibt den Diensttyp an.

    • 0 – Der Client registriert den Eintrag "A" (Host).

    • 1 – Der Client möchte, dass DHCP den Eintrag "A" (Host) registriert.

    • 3 – DHCP registriert den Eintrag "A" (Host) unabhängig von der Clientanforderung.

  4. RCODE1 – Gibt einen Antwortcode an, den der Server an den Client sendet.

  5. RCODE2 – Gibt eine zusätzliche Beschreibung von RCODE1 an.

  6. Domänenname – Gibt den FQDN des Clients an.

Wenn die Ressourceneinträge des Clients mit DNS registriert werden sollen, ist der Client für die Generierung der dynamischen UPDATE-Anforderung per Kommentaranforderung (Request for Comments, RFC) 2136 verantwortlich. Der DHCP-Server registriert dann seinen PTR-Eintrag (Zeigereintrag).

Angenommen, diese Option wird von einem qualifizierten DHCP-Client ausgeführt, z. B. von einem DHCP-fähigen Computer unter Windows Vista, Windows 2000 oder Windows XP. In diesem Fall wird die Option von DHCP-Servern unter Windows Server 2008 verarbeitet und interpretiert, um zu bestimmen, wie der Server im Namen des Clients Updates initiiert.

Sichere dynamische Updates

Unter Windows Server 2008 sind sichere DNS-Updates nur in Zonen verfügbar, die in Active Directory integriert sind. Nach der Integration einer Zone können Sie mit den Bearbeitungsfeatures der Zugriffssteuerungsliste (Access Control List, ACL), die im DNS-Snap-In verfügbar sind, der ACL Benutzer oder Gruppen für eine spezielle Zone oder einen Ressourceneintrag hinzufügen oder aus dieser entfernen.

Standardmäßig werden sichere dynamische Updates für DNS-Server und -Clients unter Windows Server 2008 folgendermaßen verarbeitet:

  1. DNS-Clients unter Windows Server 2008 versuchen zunächst, nicht sichere dynamische Updates zu verwenden. Wenn das nicht sichere Update verweigert wird, versuchen Clients, ein sicheres Update zu verwenden.

    Außerdem verwenden Clients eine standardmäßige Update-Richtlinie, wodurch sie versuchen, einen kürzlich registrierten Ressourceneintrag zu überschreiben, sofern sie nicht durch sichere Updates blockiert werden.

  2. Nach der Integration einer Zone in Active Directory aktivieren DNS-Server unter Windows Server 2008 standardmäßig nur sichere dynamische Updates.

    Wenn Sie die standardmäßige Zonenspeicherung verwenden, aktiviert der DNS-Serverdienst in seinen Zonen keine dynamischen Updates. Sie können eine Zone ändern, um alle dynamischen Updates zu aktivieren, wenn diese Zone Directory-integriert ist oder die standardmäßige Dateispeicherung verwendet. Dadurch werden alle Updates akzeptiert und als sichere Updates ausgeführt.

Wenn Sie mehrere DHCP-Server unter Windows Server 2008 im Netzwerk verwenden und wenn Sie die Zonen so konfiguriert haben, dass nur sichere dynamische Updates aktiviert werden, verwenden Sie das Snap-In Active Directory-Benutzer und -Computer, um die DHCP-Servercomputer der integrierten DnsUpdateProxy-Gruppe hinzuzufügen. Ihre gesamten DHCP-Server verfügen dann über die Sicherheitsrechte, um Proxyupdates für alle DHCP-Clients auszuführen.

Vorsicht
  • Die Funktionalität der sicheren dynamischen Updates kann gefährdet sein, wenn folgende Bedingungen zutreffen:
  • •Sie führen einen DHCP-Server auf einem Domänencontroller unter Windows Server 2008 aus.
  • •Der DHCP-Server wurde so konfiguriert, dass er die Registrierung von DNS-Einträgen im Namen seiner Clients ausführt.
  • Stellen Sie DHCP-Server und Domänencontroller auf separaten Computern bereit, oder konfigurieren Sie den DHCP-Server so, dass dieser ein zugehöriges Benutzerkonto für dynamische Updates verwendet, um dieses Problem zu vermeiden.
Hinweis

Die Funktionalität der sicheren dynamischen Updates wird nur für Active Directory-integrierte Zonen unterstützt. Wenn Sie einen anderen Zonentyp konfigurieren, ändern Sie den Zonentyp, und integrieren Sie dann die Zone, bevor Sie sie für DNS-Updates sichern. Dynamische Updates sind eine RFC-kompatible Erweiterung des DNS-Standards. Der DNS-Updatevorgang wird im RFC 2136 zu dynamischen Updates im DNS (DNS UPDATE) (möglicherweise in englischer Sprache) definiert.

Weitere Ressourcen

Eine Liste mit Hilfethemen mit entsprechenden Informationen finden Sie unter Empfohlene Aufgaben für die DHCP-Serverrolle.

Aktualisierte detaillierte Informationen zu DHCP für IT-Experten finden Sie in der Dokumentation zu Windows Server 2008 auf der Microsoft TechNet-Website (möglicherweise in englischer Sprache).


Inhaltsverzeichnis