menu główne
Artykuły
Polecamy
artykuły
Powrót do listy artykułów

Temat artykułu: Integrowanie DNS na Windows 2000 z DNS BIND lub Windows NT 4.0
Tekst napisał pitt2k dnia 05-03-2006

Jedną z funkcji systemu DNS w systemie Windows 2000 jest obsługa dynamicznej aktualizacji hostów (udokumentowana w specyfikacji RFC 2136). Aby wykorzystać tę funkcję, można wdrażać system DNS w systemie Windows 2000 w środowiskach, w których nie ma innych serwerów DNS, oraz takich, które już mają wdrożone nie-dynamiczne serwery DNS (serwer DNS systemu Microsoft Windows NT 4.0, serwer BIND 4.9.7 i wersje wcześniejsze, itd.). Podczas wdrażania serwera DNS systemu Windows 2000 w środowisku z wdrożonymi serwerami DNS BIND lub Windows NT 4.0, możliwych jest kilka opcji integracji:
  • Uaktualnienie serwerów DNS systemu Windows NT 4.0 do systemu Windows 2000.
  • Migracja stref z nie-dynamicznych nadrzędnych serwerów DNS do serwerów DNS systemu Windows 2000.
  • Delegowanie podrzędnych domen DNS w obszar nadrzędnej domeny DNS. Dla nazw domen usługi Active Directory, które nie mają tej samej nazwy co katalog główny strefy, należy delegować poddomenę do serwera DNS systemu Windows 2000. Na przykład, jeżeli nazwą domeny Active Directory jest dev.reskit.com, a strefą, która zawiera tę nazwę jest reskit.com, deleguj domenę dev.reskit.com do serwera z systemem DNS opartym na systemie Windows 2000.
  • Delegowanie każdej z poddomen używanej przez rekordy lokalizatora kontrolera domeny (rekordy SRV) do serwera opartego na systemie Windows 2000. Tymi poddomenami są _msdcs.reskit.com, _sites.reskit.com, _tcp.reskit.com i _udp.reskit.com. Tej opcji powinno się używać wtedy, gdy nazwy domen Active Directory (na przykład reskit.com), które są takie same jak nazwa katalogu głównego strefy (na przykład reskit.com), nie mogą być delegowane bezpośrednio do serwera z DNS opartego na systemie Windows 2000. Opcjonalnie klienci mogą być członkami domeny Active Directory o nazwie reskit.com, ale mogą rejestrować się w strefie DNS o nazwie dynamic.reskit.com.
W artykule opisano czwartą z wymienionych powyżej opcji: sposób integrowania serwera DNS systemu Windows 2000 do organizacji z już wdrożonym obszarem nazw DNS, w którym serwer DNS, nadrzędny dla strefy z nazwą domeny Active Directory, nie obsługuje specyfikacji RFC 2136 (dynamiczne aktualizacje). Oprócz tego w artykule omówiono scenariusz, w którym członkowie domen używają sufiksu podstawowego DNS odmiennego od nazwy domeny Active Directory, aby zezwalać na dynamiczną rejestrację rekordów DNS przez komputery z systemem Windows 2000, kiedy serwer DNS nadrzędny dla strefy z nazwą domeny Active Directory nie obsługuje dynamicznych aktualizacji DNS.

W celu integrowania serwera DNS systemu Windows 2000 z istniejącym obszarem nazw na podstawie nie-dynamicznych serwerów DNS, możesz delegować poddomeny używane przez rekordy lokalizatora (rekordy SRV), aby umożliwić używanie dynamicznych aktualizacji (zgodnie ze specyfikacją RFC 2136). Wykonaj następujące kroki:
  1. Na nie-dynamicznym serwerze DNS, który jest nadrzędny dla strefy z nazwą domeny Active Directory, deleguj następujące strefy do serwera z systemem DNS opartym na systemie Windows 2000:

    _udp.Nazwa_domeny_DNS
    _tcp.Nazwa_domeny_DNS
    _sites.Nazwa_domeny_DNS
    _msdcs.Nazwa_domeny_DNS

    Na przykład, jeżeli strefa główna nazywa się reskit.com, deleguj domeny _udp.reskit.com, _tcp.reskit.com, _sites.reskit.com i _msdcs.reskit.com do serwera opartego na systemie Windows 2000.

  2. Na przykład, jeżeli strefa główna nazywa się reskit.com, deleguj domeny _udp.reskit.com, _tcp.reskit.com, _sites.reskit.com i _msdcs.reskit.com do serwera opartego na systemie Windows 2000. Na serwerze opartym na systemie Windows 2000 utwórz następne strefy delegowane w kroku 1 i włącz te strefy do dynamicznej aktualizacji.

    Aby utworzyć nowe strefy:
    1. Uruchom Menedżera DNS w systemie Windows 2000 Server.
    2. Rozwiń odpowiedni serwer DNS w Menedżerze DNS.
    3. Kliknij prawym klawiszem myszy folder Strefy wyszukiwania do przodu, a następnie kliknij polecenie Nowa strefa.
    4. Po uruchomieniu Kreatora nowych stref kliknij przycisk Dalej, kliknij pole wyboru Zintegrowana usługi Active Directory (zalecane) lub Podstawowa standardowa (w zależności od infrastruktury sieci), a następnie kliknij przycisk Dalej.
    5. Wpisz nazwę strefy w polu Nazwa. Na przykład wpisz _msdcs.reskit.com .
    6. Kliknij przycisk Dalej. Po obejrzeniu podsumowania kreatora, kliknij przycisk Zakończ.
    Aby włączyć akceptowanie dynamicznych aktualizacji strefy:

    1. Używając Menedżera DNS na serwerze Windows 2000 z systemem DNS, kliknij prawym klawiszem myszy nową strefę, kliknij polecenie Właściwości, a następnie kliknij kartę Ogólne.
    2. W polu Zezwalaj na aktualizacje dynamiczne kliknij pole Tylko bezpieczne aktualizacje (zalecane) lub Tak. Zwróć uwagę, że opcja Tylko bezpieczne aktualizacje jest dostępna tylko po promowaniu serwera do kontrolera domeny.
    Powtarzaj tę procedurę dopóki wszystkie cztery strefy opisane w kroku 1 zostaną utworzone i będą zezwalały na aktualizacje dynamiczne. Dzięki temu rekordy lokalizatora kontrolera domeny na serwerze DNS będą rejestrowane i wyrejestrowywane dynamicznie.

  3. Na przykład, jeżeli strefa główna nazywa się reskit.com, deleguj domeny _udp.reskit.com, _tcp.reskit.com, _sites.reskit.com i _msdcs.reskit.com do serwera opartego na systemie Windows 2000. Oprócz tego można utworzyć i skonfigurować pojedynczą strefę lub wiele stref, aby umożliwiać klientom i serwerom dynamiczną rejestrację za pomocą serwera Windows 2000. Na przykład strefa dynamic.reskit.com może być używana do rejestrowania wszystkich klientów i serwerów w sieci poprzez aktualizacje dynamiczne. Aby skonfigurować taką strefę:
    1. Na nie-dynamicznym serwerze DNS, który jest nadrzędny dla strefy nadrzędnej (na przykład reskit.com) deleguj nową strefę do serwera DNS z systemem Windows 2000. Na przykład deleguj strefę dynamic.reskit.com. do systemu Windows 2000 Server.
    2. W systemie Windows 2000 Server utwórz strefę wyszukiwania do przodu dla strefy delegowanej powyżej (dynamic.reskit.com).
    3. Włącz aktualizacje dynamiczne dla jednej lub wielu stref w systemie Windows 2000 Server.
  4. Na przykład, jeżeli strefa główna nazywa się reskit.com, deleguj domeny _udp.reskit.com, _tcp.reskit.com, _sites.reskit.com i _msdcs.reskit.com do serwera opartego na systemie Windows 2000. Klienci i serwery muszą być tak skonfigurowane, aby rejestrować się w prawidłowej strefie. Domyślnie klienci rejestrują się w strefie DNS o tej samej nazwie, co domena Windows 2000, której są członkami. Aby skonfigurować klienta systemu Windows 2000, aby rejestrował się w strefie z inną nazwą niż nazwa domeny systemu Windows NT lub Windows 2000, której ten klient jest członkiem, postępuj zgodnie z poniższą procedurą.

    Zwróć uwagę, że po zakończeniu zmian należy ponownie uruchomić klienta.
    1. Kliknij prawym przyciskiem myszy ikonę Mój komputer, kliknij polecenie Właściwości, a następnie kliknij kartę Identyfikacja sieciowa.
    2. Kliknij przycisk Właściwości, a następnie kliknij przycisk Więcej.
    3. Kliknij, aby wyczyścić pole wyboru Zmień sufiks podstawowej domeny DNS po zmianie członkostwa w domenie.
    4. Wpisz odpowiednią nazwę strefy w polu Sufiks podstawowej domeny DNS tego komputera. Na przykład wpisz dynamic.reskit.com .
    5. Kliknij przycisk OK.
    Po ponownym uruchomieniu, komputer sam zarejestruje się dynamicznie w nowej strefie. Takie skonfigurowanie klienta, aby sam rejestrował się w nowej strefie, można zrealizować za pomocą zasad grupy. Również wcześniejsze wersje klientów można tak skonfigurować, aby rejestrowały się w strefie.
  5. Na przykład, jeżeli strefa główna nazywa się reskit.com, deleguj domeny _udp.reskit.com, _tcp.reskit.com, _sites.reskit.com i _msdcs.reskit.com do serwera opartego na systemie Windows 2000. Po uruchomieniu kontrolerów domen systemu Windows 2000, usługa Netlogon usiłuje zarejestrować kilka rekordów SRV w strefie nadrzędnej. Ponieważ strefy, w których miały być zarejestrowane rekordy SRV zostały delegowane (w kroku 1 i 2) do serwera Windows 2000, gdzie mogą być aktualizowane dynamicznie, rejestracje zakończą się pomyślnie. Oprócz tego, kontroler domeny będzie usiłował zarejestrować rekord lub rekordy A wymienione w pliku Netlogon.dns jego strefy głównej (na przykład reskit.com). Ponieważ w tym przypadku strefa główna jest zlokalizowana na nie-dynamicznym serwerze DNS, aktualizacje nie powiodą się. W dzienniku systemu na kontrolerze domeny utworzone zostanie następujące zdarzenie:
    Typ zdarzenia: Ostrzeżenie
    Źródło zdarzenia: NETLOGON
    Kategoria zdarzenia: Brak
    Identyfikator zdarzenia: 5773
    Data: 2000-03-29
    Godzina: 15:16:14
    Użytkownik: Brak
    Komputer: Kontroler domeny
    Opis:
    Serwer DNS tego kontrolera domeny nie obsługuje dynamicznego DNS. Dodaj rekordy DNS z pliku '%SystemRoot%\System32\Config\netlogon.dns' do serwera DNS obsługującego domenę, do której występują odwołania w tym pliku.
    Aby usunąć ten problem:

    1. Na każdym kontrolerze domeny systemu Windows 2000 znajduje się plik Netlogon.dns, zlokalizowany w folderze %SystemRoot%\System32\Config. Plik ten zawiera listę rekordów DNS, które kontroler domeny będzie usiłował rejestrować po uruchomieniu usługi Netlogon. Dobrym pomysłem jest sporządzenie kopii tego pliku przed przystąpieniem do kolejnych zmian. Pozwoli to zachować listę oryginalnych rekordów, które kontroler domeny próbował rejestrować za pomocą serwera DNS. Należy pamiętać, że każdy kontroler domeny będzie miał inne rekordy, ponieważ rekordy są specyficzne dla każdej karty sieciowej na kontrolerze domeny. Zbadaj plik Netlogon.dns, aby rozpoznać wszystkie rekordy A. Rekordy A można rozpoznać dzięki deskryptorowi klasy „IN” wpisanemu po typie rekordu. Na przykład następujące dwie pozycje są rekordami A:

      reskit.com. 600 IN A 10.10.10.10
      gc._msdcs.reskit.com. 600 IN A 10.10.10.10

      Liczba rekordów A w pliku Netlogon.dns zależy od liczby kart na kontrolerze domeny, liczby adresów IP, za pomocą których każda karta została skonfigurowana i od roli kontrolera domeny. Kontrolery domeny rejestrują:

      • Jeden rekord A na każdy swój adres IP nazwy domeny.
      • Jeżeli kontroler domeny jest także serwerem katalogu globalnego, rejestruje nazwę gc._msdcs.DnsForestName dla każdego ze swoich adresów IP.
    2. Liczba rekordów A w pliku Netlogon.dns zależy od liczby kart na kontrolerze domeny, liczby adresów IP, za pomocą których każda karta została skonfigurowana i od roli kontrolera domeny. Kontrolery domeny rejestrują: Ponieważ nie-dynamiczny serwer DNS nie akceptuje prób dynamicznej rejestracji rekordów A przez kontrolera domeny, rekordy A muszą być skonfigurowane ręcznie na nadrzędnym serwerze DNS (zgodnie z przykładem podanym w artykule, na nadrzędnym serwerze DNS dla strefy reskit.com). Dodawanie rekordu A odpowiadającego nazwie domeny (na przykład reskit.com) nie jest wymagane dla wdrożenia systemu Windows 2000 i może być konieczne jedynie wtedy, gdy klienci LDAP innych firm (nie obsługujący rekordów DNS usługi SRV) wyszukują kontrolery domen systemu Windows 2000.

      Na serwerze Windows 2000 utwórz rekordy A specyficzne dla serwera katalogu globalnego, które zostały zidentyfikowane w kroku A, w odpowiedniej strefie. Na przykład utwórz rekord A dla serwera katalogu globalnego w strefie _msdcs.reskit.com.

      Na nie-dynamicznym serwerze DNS, który jest nadrzędny dla katalogu głównego strefy, utwórz rekordy A w strefie głównej (na przykład reskit.com) dla rekordów A, które nie są specyficzne dla serwera katalogu globalnego, zidentyfikowanych w kroku A. Na przykład utwórz rekord A dla strefy reskit.com w tej strefie.
    3. Liczba rekordów A w pliku Netlogon.dns zależy od liczby kart na kontrolerze domeny, liczby adresów IP, za pomocą których każda karta została skonfigurowana i od roli kontrolera domeny. Kontrolery domeny rejestrują: Do wyłączania przez kontroler domeny rejestracji rekordów A widocznych w pliku Netlogon.dns, należy używać następującego klucza rejestru. Ustaw wartość REG_DWORD RegisterDnsARecords na 0 (zero) w obszarze:

      HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  6. Na przykład, jeżeli strefa główna nazywa się reskit.com, deleguj domeny _udp.reskit.com, _tcp.reskit.com, _sites.reskit.com i _msdcs.reskit.com do serwera opartego na systemie Windows 2000. Kiedy las usługi Active Directory i domena są już na miejscu, należy integrować usługę Active Directory z domenami DNS, za które odpowiedzialny jest serwer Windows 2000 obsługujący DNS. Oprócz tego należy ponownie skonfigurować strefy, które zostały skonfigurowane w celu akceptacji wyłącznie bezpiecznych aktualizacji dynamicznych.