DNS-Clientcomputer (Domain Name System) können dynamische Updates verwenden, um ihre Ressourceneinträge auf einem DNS-Server zu registrieren und dynamisch zu aktualisieren, sobald Änderungen auftreten. Dadurch wird der manuelle Verwaltungsaufwand für Zoneneinträge speziell bei Clients verringert, die häufig verschoben werden oder den Standort wechseln und eine IP-Adresse mithilfe von DHCP (Dynamic Host Configuration Protocol) abrufen.

Der DNS-Clientdienst und der DNS-Serverdienst unterstützen die Verwendung von dynamischen Updates gemäß RFC 2136 (Request for Comments), in dem dynamische Updates in DNS beschrieben werden. Der DNS-Serverdienst ermöglicht die zonenweise Aktivierung oder Deaktivierung von dynamischen Updates auf jedem Server, der für das Laden einer primären Standardzone oder einer Directory-integrierten Zone konfiguriert ist. Der DNS-Clientdienst führt standardmäßig dynamische Updates der Hostressourceneinträge (A) in DNS durch, wenn der Dienst für TCP/IP konfiguriert ist.

Aktualisierung von DNS-Namen durch Client- und Servercomputer

Computer, die für TCP/IP statisch konfiguriert sind, versuchen standardmäßig, die Hostressourceneinträge (A) und Zeigerressourceneinträge (PTR) für die von ihren installierten Netzwerkverbindungen verwendeten IP-Adressen dynamisch zu registrieren. Standardmäßig registrieren alle Computer ihre Einträge mithilfe ihres vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN).

Der primäre vollständige Computername, ein FQDN, basiert auf dem primären DNS-Suffix eines Computers, das an den Computernamen angefügt wird.

Weitere Überlegungen

  • Der DNS-Client unternimmt standardmäßig keine dynamischen Updateversuche für Domänenzonen der höchsten Ebene (Top-Level Domain, TLD). Zonen mit nur einer Domänenbezeichnung gelten als TLD-Zonen, beispielsweise com, edu, leer, meine-firma. Zum Konfigurieren eines DNS-Clients für dynamische Updates von TLD-Zonen können Sie die Richtlinieneinstellung Domänenzonen der obersten Ebene aktualisieren verwenden oder die Registrierung ändern.

  • Standardmäßig ist der primäre DNS-Suffixteil des FQDN eines Computers mit dem Namen der AD DS-Domäne (Active Directory Domain Services, Active Directory-Domänendienste) identisch, der der Computer hinzugefügt wird. Damit verschiedene primäre DNS-Suffixe verwendet werden können, kann der Domänenadministrator eine eingeschränkte Liste zulässiger Suffixe erstellen, indem er das msDS-AllowedDNSSuffixes-Attribut im Domänenobjektcontainer ändert. Dieses Attribut wird vom Domänenadministrator mit ADSI (Active Directory Service Interfaces) oder LDAP (Lightweight Directory Access Protocol) verwaltet.

Dynamische Updates können aus den folgenden Gründen bzw. bei folgenden Ereignissen gesendet werden:

  • Für eine der installierten Netzwerkverbindungen wird in der TCP/IP-Eigenschaftenkonfiguration eine IP-Adresse hinzugefügt, entfernt oder geändert.

  • Eine IP-Adresslease für eine der installierten Netzwerkverbindungen wird beim DHCP-Server geändert oder erneuert. Dies ist beispielsweise der Fall, wenn der Computer gestartet oder Befehl ipconfig /renew verwendet wird.

  • Der Befehl ipconfig /registerdns wird verwendet, um manuell eine Aktualisierung der Clientnamenregistrierung in DNS zu erzwingen.

  • Beim Systemstart, wenn der Computer eingeschaltet wird.

  • Ein Mitgliedsserver wird zu einem Domänencontroller heraufgestuft.

Wenn eines der zuvor genannten Ereignisse ein dynamisches Update auslöst, werden Updates vom DHCP-Clientdienst (und nicht vom DNS-Clientdienst) gesendet. Dies wurde so konzipiert, damit bei einer Änderung an den IP-Adressinformationen, die von DHCP vorgenommen wird, entsprechende Updates in DNS ausgeführt werden, um die Namen-Adresszuordnungen für den Computer zu synchronisieren. Der DHCP-Clientdienst führt diese Funktion für alle Netzwerkverbindungen im System aus, einschließlich für Verbindungen, die nicht für die Verwendung von DHCP konfiguriert sind.

Beispiel: Funktionsweise dynamischer Updates

In der Regel werden dynamische Updates angefordert, wenn ein DNS-Name oder eine IP-Adresse auf dem Computer geändert wird. Nehmen wir beispielsweise an, dass ein Client mit dem Namen oldhost in Systemeigenschaften zunächst mit den folgenden Namen konfiguriert wird.

Computername

oldhost

DNS-Domänenname des Computers

tailspintoys.com

Vollständiger Computername

oldhost.tailspintoys.com 

In diesem Beispiel werden für den Computer keine verbindungsspezifischen DNS-Domänennamen konfiguriert. Später wird der Computer von oldhost in newhost umbenannt, wodurch die folgenden Namenänderungen im System vorgenommen werden.

Computername

newhost

DNS-Domänenname des Computers

tailspintoys.com

Vollständiger Computername

newhost.tailspintoys.com 

Nachdem Sie die Namensänderung in Systemeigenschaften übernommen haben, werden Sie zum Neustarten des Computers aufgefordert. Wenn der Computer Windows neu startet, führt der DHCP-Clientdienst die folgende Sequenz zur Aktualisierung von DNS aus:

  1. Der DHCP-Clientdienst sendet eine Abfrage des Typs SOA (Start of Authority, Autoritätsursprung) mit dem DNS-Domänennamen des Computers.

    Der Clientcomputer verwendet den aktuell konfigurierten FQDN des Computers (z. B. newhost.tailspintoys.com) als Namen in dieser Abfrage.

  2. Der autorisierende DNS-Server für die Zone, die den Client-FQDN enthält, antwortet auf die SOA-Abfrage.

    Bei standardmäßigen primären Zonen ist der primäre Server (Eigentümer), der in der Antwort auf die SOA-Abfrage gesendet wird, festgelegt und statisch. Er entspricht stets exakt dem DNS-Namen, der im SOA-Ressourceneintrag angegeben ist, der für die Zone gespeichert ist. Wenn die zu aktualisierende Zone jedoch Directory-integriert ist, kann jeder DNS-Server, der die Zone lädt, antworten und seinen eigenen Namen als primären Server (Eigentümer) der Zone in die Antwort auf die SOA-Abfrage einfügen.

  3. Der DHCP-Clientdienst versucht dann, den primären DNS-Server zu kontaktieren.

    Der Client verarbeitet die Antwort auf die SOA-Abfrage für seinen Namen, um die IP-Adresse des DNS-Servers zu ermitteln, der als primärer Server für das Akzeptieren seines Namens autorisiert ist. Anschließend fährt er bei Bedarf mit der Ausführung der folgenden Schrittsequenz fort, um den primären Server zu kontaktieren und dynamisch zu aktualisieren:

    1. Er sendet eine dynamische Updateanforderung an den primären Server, der in der Antwort auf die SOA-Abfrage angegeben ist.

      Wenn das Update erfolgreich ist, werden keine weiteren Aktionen ausgeführt.

    2. Wenn das Update fehlschlägt, sendet der Client eine Abfrage des Typs NS (Nameserver) für den Zonennamen, der im SOA-Eintrag angegeben ist.

    3. Wenn er eine Antwort auf diese Abfrage erhält, sendet er eine SOA-Abfrage an den ersten DNS-Server, der in der Antwort aufgeführt ist.

    4. Nachdem die SOA-Abfrage aufgelöst wurde, sendet der Client ein dynamisches Update an den Server, der im zurückgegebene SOA-Eintrag angegeben ist.

      Wenn das Update erfolgreich ist, werden keine weiteren Aktionen ausgeführt.

    5. Wenn dieses Update fehlschlägt, wiederholt der Client den SOA-Abfragevorgang durch Senden der Abfrage an den nächsten DNS-Server, der in der Antwort aufgeführt ist.

  4. Nachdem der primäre Server, der das Update ausführen kann, kontaktiert wurde, sendet der Client die Updateanforderung und der Server verarbeitet diese.

    Der Inhalt der Updateanforderung besteht aus Anweisungen zum Hinzufügen von Hostressourceneinträgen (A) und möglicherweise Zeigerressourceneinträgen (PTR) für newhost.tailspintoys.com sowie zum Entfernen derselben Eintragstypen für oldhost.tailspintoys.com, dem Namen, der zuvor registriert war.

    Der Server überprüft zudem, ob Updates für die Clientanforderung zulässig sind. Bei primären Standardzonen sind dynamische Updates nicht gesichert. Daher ist jeder Updateversuch durch einen Client erfolgreich. Bei AD DS-integrierten Zonen sind Updates gesichert und werden mithilfe von Directory-basierten Sicherheitseinstellungen ausgeführt.

Dynamische Updates werden regelmäßig gesendet und aktualisiert. Standardmäßig senden Computer wöchentlich eine Aktualisierung. Wenn das Update keine Änderungen an den Zonendaten bewirkt, behält die Zone ihre aktuelle Version bei, und es werden keine Änderungen gespeichert. Updates führen nur zu einer Änderung der Zonendaten oder zu erhöhter Zonenübertragung, wenn Namen oder Adressen geändert werden.

Wenn der DHCP-Clientdienst Hostressourceneinträge (A) und Zeigerressourceneinträge (PTR) für einen Computer registriert, verwendet er für die Hosteinträge eine standardmäßige Caching-Gültigkeitsdauer (Time to Live, TTL) von 15 Minuten. Diese bestimmt, wie lange andere DNS-Server und -Clients die Einträge eines Computers zwischenspeichern, wenn die Einträge in einer Abfrageantwort enthalten sind.

Sichere dynamische Updates

Die DNS-Updatesicherheit ist nur für Zonen verfügbar, die in AD DS integriert sind. Wenn Sie eine Zone in AD DS integrieren, stehen Ihnen im DNS-Manager Features für die Bearbeitung der Zugriffssteuerungsliste (Access Control List, ACL) zur Verfügung, mit denen Sie in der Zugriffssteuerungsliste für eine angegebene Zone oder einen Ressourceneintrag Benutzer oder Gruppen hinzufügen oder entfernen können.

Die dynamische Updatesicherheit für DNS-Server und -Clients kann standardmäßig wie folgt verwendet werden:

  • DNS-Clients versuchen zuerst, nicht gesicherte dynamische Updates zu verwenden. Wenn ein nicht gesichertes Update verweigert wird, versuchen die Clients ein sicheres Update.

    Darüber hinaus verwenden die Clients eine Standardupdaterichtlinie, die es ihnen ermöglicht, einen zuvor registrierten Ressourceneintrag zu überschreiben, es sei denn, dies wird von der Updatesicherheit eigens blockiert.

  • Nachdem eine Zone in AD DS integriert wurde, gestatten DNS-Server unter Windows Server® 2008 standardmäßig ausschließlich sichere dynamische Updates.

    Wenn Sie den Standardzonenspeicher verwenden, gestattet der DNS-Serverdienst standardmäßig keine dynamischen Updates für seine Zonen. Bei Zonen, die Directory-integriert sind oder einen standardmäßigen dateibasierten Speicher verwenden, können dynamische Updates für die Zone aktiviert werden. Dadurch werden alle Updates akzeptiert.


Inhaltsverzeichnis