会员登录|免费注册|忘记密码|管理入口 返回主站||保存桌面
如何在 Windows Server 中配置权威时间服务器
2024-11-19IP属地 湖北1

本文介绍如何在 Windows 中配置 DNS 更新功能。

如何在 Windows Server 中配置权威时间服务器

原始 KB 编号: 816592

DNS 更新功能使 DNS 客户端计算机能够在发生更改时向 DNS 服务器注册和动态更新其资源记录。 如果使用此功能,可以减少手动管理区域记录的要求,尤其是对于经常移动和使用动态主机配置协议 (DHCP) 来获取 IP 地址的客户端。

Windows 提供对动态更新功能的支持,如 R) FC (2136 (中所述。 对于 DNS 服务器,DNS 服务允许你在配置为加载标准主区域或目录集成区域的每个服务器上按区域启用或禁用 DNS 更新功能。

DNS 服务允许客户端计算机在 DNS 中动态更新其资源记录。 使用此功能时,可以通过减少手动管理区域记录所需的时间来改进 DNS 管理。 当计算机的 IP 地址发生更改时,可以将 DNS 更新功能与 DHCP 配合使用来更新资源记录。

Windows 提供与 DNS 动态更新协议相关的以下功能:

  • 将 Active Directory 目录服务用作域控制器的定位器服务。

  • 与 Active Directory 集成。

    可以将 DNS 区域集成到 Active Directory 中,以提供更高的容错和安全性。 每个 Active Directory 集成区域都在 Active Directory 域中的所有域控制器之间复制。 在这些域控制器上运行的所有 DNS 服务器都可以充当区域的主服务器并接受动态更新。 Active Directory 基于每个属性进行复制,并且仅传播相关更改。

  • 记录的老化和清理。

    DNS 服务器服务可以扫描和删除不再需要的记录。 启用此功能时,可以防止过时的记录保留在 DNS 中。

  • 保护 Active Directory 集成区域中的动态更新。

    可以为安全动态更新配置 Active Directory 集成区域,以便只有经过授权的客户端才能对区域或记录进行更改。

  • 从命令提示符管理。

  • NetBIOS 名称解析

  • 增强的缓存和负缓存。

  • 与其他 DNS 服务器实现的互操作性。

  • 与其他网络服务集成。

  • 增量区域传输。

默认情况下,静态配置为 TCP/IP 的 Windows 计算机尝试为已安装的网络连接配置和使用的 IP 地址动态注册主机地址 (A) 和指针 (PTR) 资源记录。 默认情况下,所有计算机注册记录都基于完整的计算机名称。

主完整计算机名是 FQDN) (完全限定的域名。 此外,主完整计算机名是附加到计算机名称的计算机的主要 DNS 后缀。 若要确定计算机的主 DNS 后缀和计算机名称,请右键单击 “我的计算机”,单击 “属性”,然后单击 “计算机名称”。

可以出于以下任一原因或事件发送 DNS 更新:

  • 在 TCP/IP 属性配置中为任何一个已安装的网络连接添加、删除或修改 IP 地址。
  • IP 地址租约会更改或续订任何一个已安装的网络连接与 DHCP 服务器。 例如,当计算机启动或使用 命令时,会发生此更新。
  • 使用该 命令在 DNS 中手动强制更新客户端名称注册。
  • 远程计算机已关闭
  • 成员服务器将升级到域控制器。

当其中一个事件触发 DNS 更新时,DHCP 客户端服务(而不是 DNS 客户端服务)将发送更新。 如果由于 DHCP 而更改了 IP 地址信息,则会在 DNS 中执行相应的更新,以同步计算机的名称到地址映射。 DHCP 客户端服务针对系统上的所有网络连接执行此函数。 这包括未配置为使用 DHCP 的连接。

默认情况下,无论计算机的角色如何,Windows 每 24 小时注册一次 A 和 PTR 资源记录。 若要更改此时间,请在以下注册表子项下添加 DefaultRegistrationRefreshInterval 注册表项:

间隔设置为秒。

DNS 更新工作原理的示例

在计算机上的 DNS 名称或 IP 地址发生更改时,通常会请求动态更新。 例如,在系统属性中首先将名为“oldhost”的客户端配置为具有以下名称: 计算机名称:oldhost 计算机的 DNS 域名: NetBIOS 计算机名称

在此示例中,未为计算机配置特定于连接的 DNS 域名。 如果将计算机从“oldhost”重命名为“newhost”,则会发生以下名称更改: 计算机名称:newhost 计算机的 DNS 域名: NetBIOS 计算机名称

系统属性中应用名称更改后,Windows 会提示你重启计算机。 计算机重启 Windows 后,DHCP 客户端服务执行以下序列来更新 DNS:

  1. DHCP 客户端服务使用计算机的 DNS 域名发送颁发机构 (SOA) 类型查询的开始。

    客户端计算机使用当前配置的计算机 FQDN(如“”)作为此查询中指定的名称。

  2. 包含客户端 FQDN 的区域的权威 DNS 服务器响应 SOA 类型查询。

    对于在 SOA 查询响应中返回的标准主区域、主服务器或所有者是固定的和静态的。 主服务器名称始终与确切的 DNS 名称匹配,因为该名称显示在随区域一起存储的 SOA 资源记录中。 但是,如果要更新的区域是目录集成的,则加载该区域的任何 DNS 服务器都可以响应并动态插入其自身的名称,作为 SOA 查询响应中区域的主服务器。

  3. DHCP 客户端服务尝试联系主 DNS 服务器。

    客户端处理其名称的 SOA 查询响应,以确定被授权为接受其名称的主服务器的 DNS 服务器的 IP 地址。 如果需要,客户端将执行以下步骤来联系并动态更新其主服务器:

    1. 客户端将动态更新请求发送到 SOA 查询响应中确定的主服务器。

      如果更新成功,则不会执行其他操作。

    2. 如果此更新失败,客户端接下来会为 SOA 记录中指定的区域名称发送 NS 类型查询。

    3. 当客户端收到对此查询的响应时,客户端会将 SOA 查询发送到响应中列出的第一个 DNS 服务器。

    4. 解决 SOA 查询后,客户端会向返回的 SOA 记录中指定的服务器发送动态更新。

      如果更新成功,则不会执行其他操作。

    5. 如果此更新失败,客户端将通过发送到响应中列出的下一个 DNS 服务器来重复 SOA 查询过程。

  4. 联系可以执行更新的主服务器后,客户端将发送更新请求,服务器将处理该请求。

    更新请求的内容包括添加“”的 A(可能还有 PTR)资源记录的说明,以及删除“”的这些相同记录类型。 (“是以前注册的名称。)

    服务器还会检查以确保客户端请求允许更新。 对于标准主区域,动态更新不受保护。 任何客户端更新尝试都会成功。 对于与 Active Directory 集成的区域,使用基于目录的安全设置来保护和执行更新。

动态更新会定期发送或刷新。 默认情况下,计算机每 24 小时发送一次更新。 如果更新未对区域数据造成任何更改,则该区域将保留在其当前版本中,并且不会写入任何更改。 仅当名称或地址实际更改时,才会发生导致实际区域更改或增加区域传输的汇报。

当 DHCP 客户端服务为基于 Windows 的计算机注册 A 和 PTR 资源记录时,客户端对主机记录使用默认的缓存生存时间 (TTL) 值 15 分钟。 此值确定其他 DNS 服务器和客户端在查询响应中包含计算机记录时缓存这些记录的时间。

Windows DHCP 服务器可以在 DNS 命名空间中为支持这些更新的任何一个客户端启用动态更新。 每当对其 DHCP 分配的地址发生更改时,作用域客户端可以使用 DNS 动态更新协议更新其主机名称到地址映射信息。 此映射信息存储在 DNS 服务器上的区域中。 基于 Windows 的 DHCP 服务器可以代表其 DHCP 客户端对任何 DNS 服务器执行更新。

DHCP/DNS 更新交互的工作原理

可以使用 DHCP 服务器代表已启用 DHCP 的客户端注册和更新 PTR 和 A 资源记录。 执行此操作时,必须使用其他 DHCP 选项,即客户端 FQDN 选项 (选项 81) 。 此选项允许客户端将其 FQDN 发送到 DHCPREQUEST 数据包中的 DHCP 服务器。 这样,客户端就可以将 DHCP 服务器通知它所需的服务级别。

FQDN 选项包括以下六个字段:

  • 代码 指定此选项的代码 (81) 。
  • Len 指定此选项的长度。 (此值必须至少为 4.)
  • Flags 指定服务的类型。
  • 0 客户端将注册“A” (主机) 记录。
  • 1 客户端希望 DHCP 注册“A” (主机) 记录。
  • 3 无论客户端的请求如何,DHCP 都将注册“A” (主机) 记录。
  • RCODE1 指定服务器发送到客户端的响应代码。
  • RCODE2 指定 RCODE1 的附加描述。
  • 域名 指定客户端的 FQDN。

如果客户端请求将其资源记录注册到 DNS,则客户端负责生成每个批注请求 (RFC) 2136 的动态 UPDATE 请求。 然后,DHCP 服务器注册其 PTR (指针) 记录。

假定此选项由合格的 DHCP 客户端(例如运行 Windows 的已启用 DHCP 的计算机)颁发。 在这种情况下,该选项由基于 Windows Server 的 DHCP 服务器处理和解释,以确定服务器如何代表客户端启动更新。

例如,可以使用以下任一配置来处理客户端请求:

  • DHCP 服务器根据客户端请求通过其配置的 DNS 服务器注册和更新客户端信息。

    这是 Windows 的默认配置。 在此模式下,这些 Windows DHCP 客户端中的任何一个都可以指定 DHCP 服务器更新其主机 A 和 PTR 资源记录的方式。 如果可能,DHCP 服务器将处理客户端请求,以处理 DNS 中对其名称和 IP 地址信息的更新。

    若要将 DHCP 服务器配置为根据客户端的请求注册客户端信息,请执行以下步骤:

    1. 打开服务器或单个作用域的 DHCP 属性。
    2. 单击 “DNS ”选项卡,单击 “属性”,然后单击“ 动态更新 DNS A”和“PTR 记录”,仅当 DHCP 客户端请求 时才选中复选框。
  • DHCP 服务器始终使用其配置的 DNS 服务器注册和更新客户端信息。

    这是 Windows Server DHCP 服务器和运行 Windows 的客户端支持的修改配置。 在此模式下,无论客户端是否请求执行自己的更新,DHCP 服务器始终执行客户端的 FQDN 和租用 IP 地址信息的更新。

    若要将 DHCP 服务器配置为注册客户端信息,并使用其配置的 DNS 服务器更新客户端信息,请执行以下步骤:

    1. 打开服务器的 DHCP 属性
    2. 单击 DNS,单击 “属性”, 根据复选框下面的设置选择“启用 DNS 动态更新 ”,然后单击 “始终动态更新 DNS A”和“PTR”记录
  • DHCP 服务器从不向其配置的 DNS 服务器注册和更新客户端信息。

    若要使用此配置,必须将 DHCP 服务器配置为禁用 DHCP/DNS 代理更新的性能。 使用此配置时,DHCP 客户端的 DNS 中不会更新客户端主机 A 或 PTR 资源记录。

    若要配置服务器和共享,请按照下列步骤操作:

    1. 在基于 Windows Server 的 DHCP 服务器上打开 DHCP 服务器的 DHCP 属性或其作用域之一。
    2. 单击 DNS,单击 “属性”,然后根据以下设置复选框清除 “启用 DNS 动态更新 ”。

    默认情况下,始终为新安装的基于 Windows Server 的 DHCP 服务器以及为其创建的任何新范围执行更新。

运行 Windows 的 DHCP 客户端在执行 DHCP/DNS 交互时可以以不同的方式进行交互。 以下示例演示此过程在不同情况下的差异。

基于 Windows 的 DHCP 客户端的 DHCP/DNS 更新交互示例

客户端以以下方式与 DNS 动态更新协议交互:

  1. 客户端 (DHCPREQUEST) 服务器启动 DHCP 请求消息。 请求包含选项 81。
  2. 服务器 (DHCPACK) 向客户端返回 DHCP 确认消息。 客户端授予 IP 地址租约,并包含选项 81。 如果使用默认设置配置了 DHCP 服务器,选项 81 将告知客户端 DHCP 服务器将注册 DNS PTR 记录,并且客户端将注册 DNS A 记录。
  3. 客户端异步向 DNS 服务器发送 DNS 更新请求,以获取其自己的前向查找记录(主机 A 资源记录)。
  4. DHCP 服务器注册客户端的 PTR 记录。

不支持 DNS 动态更新的 DHCP/DNS 更新交互示例

不支持 DNS 动态更新过程的 DHCP 客户端无法直接与 DNS 服务器交互。 对于这些 DHCP 客户端,更新通常以以下方式进行处理:

  1. 客户端 (DHCPREQUEST) 服务器启动 DHCP 请求消息。 此请求不包括选项 81。
  2. 服务器 (DHCPACK) 向客户端返回 DHCP 确认消息。 客户端授予 IP 地址租约,但不提供选项 81。
  3. 服务器将更新发送到 DNS 服务器,以获取客户端的前向查找记录、主机 A 资源记录,并发送客户端 PTR 反向查找记录的更新。

对于 Windows Server,DNS 更新安全性仅适用于集成到 Active Directory 的区域。 集成区域后,可以使用访问控制列表 (ACL) 编辑 DNS 管理单元中可用的功能,以添加或删除特定区域或资源记录的 ACL 中的用户或组。

有关详细信息,请在 Windows Server 帮助中搜索“修改资源记录的安全性”主题或“修改目录集成区域的安全性”主题。

默认情况下,Windows Server DNS 服务器和客户端的动态更新安全性按以下方式进行处理:

  1. 基于 Windows Server 的 DNS 客户端首先尝试使用不安全的动态更新。 如果未安全更新被拒绝,客户端会尝试使用安全更新。

    此外,客户端使用默认更新策略,允许他们尝试覆盖以前注册的资源记录,除非更新安全性专门阻止这些记录。

  2. 默认情况下,在区域与 Active Directory 集成后,基于 Windows Server 的 DNS 服务器仅启用安全的动态更新。

默认情况下,使用标准区域存储时,DNS 服务器服务不会在其区域上启用动态更新。 对于目录集成或使用标准基于文件的存储的区域,可以更改区域以启用所有动态更新。 通过传递安全更新的使用,可以接受所有更新。

仅启用安全动态更新

  1. 单击“开始”,指向“管理工具”,然后单击“DNS”
  2. DNS 下,双击适用的 DNS 服务器,双击 “向前查找区域 ”或“ 反向查找区域”,然后右键单击适用区域。
  3. 单击“属性”
  4. 在“ 常规 ”选项卡上,验证区域类型是否 已与 Active Directory 集成
  5. “动态更新 ”框中,仅单击 “安全”。
  6. 单击“确定”。

DHCP 服务器代表客户端执行动态更新时的安全注意事项

可以配置基于 Windows Server 的 DHCP 服务器,以便它代表 DHCP 客户端动态注册主机 A 和 PTR 资源记录。 如果将此配置中的安全动态更新与基于 Windows Server 的 DNS 服务器配合使用,资源记录可能会过时。

例如,请考虑以下情况。

  1. Windows Server DHCP 服务器 (DHCP1) 代表其客户端之一执行针对特定 DNS 域名的安全动态更新。
  2. 由于 DHCP 服务器已成功创建名称,因此它成为名称的所有者。
  3. DHCP 服务器成为客户端名称的所有者后,只有该 DHCP 服务器才能更新该名称。

在某些情况下,这种情况可能会导致问题。 例如,如果 DHCP1 失败,并且第二个备份 DHCP 服务器联机,则备份服务器无法更新客户端名称,因为服务器不是名称的所有者。

在另一个示例中,你可能已配置了多个 DHCP 服务器或使用 DHCP 故障转移功能,其中不同的 DHCP 服务器负责单个客户端的动态更新。

若要帮助防止不安全或过时的记录,请执行以下步骤:

  1. 在 Active Directory 用户和计算机管理单元中创建专用用户帐户。
  2. 配置每个 DHCP 服务器,以使用创建的专用帐户的用户帐户凭据执行 DNS 动态更新。 (这些凭据是用户名、密码和 domain.)

多个 DHCP 服务器可以使用一个专用用户帐户的凭据。

专用用户帐户是用户帐户,其唯一目的是为 DHCP 服务器提供 DNS 动态更新注册的凭据。 假设已创建专用用户帐户,并使用帐户凭据配置了 DHCP 服务器。 当每个 DHCP 服务器代表使用 DNS 动态更新的 DHCP 客户端注册名称时,它将提供这些凭据。 应在要更新的区域的主 DNS 服务器所在的林中创建专用用户帐户。 专用用户帐户也可以位于另一个林中。 但是,帐户所在的林必须具有与林建立的林信任,该林包含要更新的区域的主 DNS 服务器。

在域控制器上安装 DHCP 服务器服务时,可以使用专用用户帐户的凭据配置 DHCP 服务器,以防止服务器继承域控制器的电源,并可能滥用该服务器的权限。 在域控制器上安装 DHCP 服务器服务时,它将继承域控制器的安全权限。 该服务还有权更新或删除在安全 Active Directory 集成区域中注册的任何 DNS 记录。 (这包括由其他基于 Windows 的计算机和域控制器安全注册的记录。)

Windows 中包含的动态更新功能遵循 RFC 2136。 动态更新使客户端和服务器能够将 DNS 域名注册 (PTR 资源记录) 和 IP 地址映射 (资源记录) 到与 RFC 2136 兼容的 DNS 服务器。

为 DHCP 客户端配置 DNS 动态更新

默认情况下,基于 Windows 的 DHCP 客户端配置为请求客户端注册 A 资源记录,并请求服务器注册 PTR 资源记录。 默认情况下,DNS 注册中使用的名称是计算机名称和主 DNS 后缀的串联。 若要更改此默认名称,请打开网络连接的 TCP/IP 属性。

若要更改动态更新客户端上的动态更新默认值,请执行以下步骤:

  1. 在“控制面板”中,双击“网络连接”

  2. 右键单击要自动存档的文件夹,然后单击“属性”。

  3. 单击“Internet 协议 (TCP/IP)”,然后单击“属性”

  4. 单击 DNS

    默认情况下,选择 在 DNS 中注册此连接的地址 ,并且未选择 在 DNS 注册中使用此连接的 DNS 后缀 。 此默认配置导致客户端请求客户端注册 A 资源记录,服务器注册 PTR 资源记录。

  5. 单击此选项可 在 DNS 注册复选框中选择“使用此连接的 DNS 后缀 ”。

    然后,客户端将请求服务器使用 FQDN 更新 PTR 记录。 如果 DHCP 服务器配置为根据客户端的请求注册 DNS 记录,则客户端将注册以下记录:

    • PTR 记录。
    • 使用计算机名称和主 DNS 后缀串联的名称的 A 记录。
    • 使用计算机名称和特定于连接的 DNS 后缀的名称的 A 记录。
  6. 若要将客户端配置为不发出 DNS 注册请求,请单击 “在 DNS 复选框中注册此连接的地址 ”。

在多宿主客户端计算机上配置 DNS 动态更新

如果动态更新客户端是多宿主,则默认情况下会将其所有 IP 地址注册到 DNS。 如果客户端具有多个适配器和关联的 IP 地址,则客户端是多宿宿。 如果不希望客户端注册其所有 IP 地址,可以将其配置为不要在网络连接属性中注册一个或多个 IP 地址。

若要防止计算机注册其所有 IP 地址,请执行以下步骤:

  1. 在“控制面板”中,双击“网络连接”
  2. 右键单击要自动存档的文件夹,然后单击“属性”。
  3. 单击“Internet 协议 (TCP/IP)”,然后单击“属性”
  4. 单击 DNS
  5. 单击“ 在 DNS 中注册此连接的地址 ”复选框。

还可以将计算机配置为在 DNS 中注册其域名。 例如,如果客户端连接到两个不同的网络,则可以将客户端配置为在每个网络上具有不同的域名。

在基于 Windows Server 的 DHCP 服务器上配置 DNS 动态更新

若要为基于 Windows Server 的 DHCP 服务器配置 DNS 动态更新,请执行以下步骤:

  1. 单击“开始”,指向“管理工具”,然后单击“计算机管理”。

  2. 右键单击文件或文件夹,然后单击“属性”

  3. 单击 DNS

  4. 单击此项 可根据以下复选框中的设置选择“启用 DNS 动态更新 ”,为支持动态更新的客户端启用 DNS 动态更新。

  5. 若要为不支持它的 DHCP 客户端启用 DNS 动态更新,请单击以选择不请求更新的 DHCP 客户端的动态更新 DNS A 和 PTR 记录 (,例如,运行Windows NT 4.0 的客户端) 复选框。

  6. 单击“确定”。

若要将 DHCP 服务器配置为使用专用用户帐户进行动态更新,请执行以下步骤:

  1. 单击“开始”,指向“管理工具”,然后单击“计算机管理”。
  2. 右键单击相应的 DHCP 服务器 IPv4 或 IPv6,然后单击“ 属性”。
  3. 单击“ 高级 ”和 “凭据 ”。
  4. 添加创建的专用用户帐户的用户名密码
  5. 单击“确定”。

启用 DNS 服务器的 DNS 动态更新

在基于 Windows Server 的 DHCP 服务器上,可以针对无法自行执行的基于 Windows Server 的客户端动态更新 DNS 记录。

若要使 DHCP 服务器能够动态更新其客户端的 DNS 记录,请执行以下步骤:

  1. 在 DHCP 管理控制台中,选择要为其启用 DNS 更新的范围或 DHCP 服务器。
  2. 编辑菜单上,单击删除,然后单击
  3. 单击此项 可根据以下设置选中“启用 DNS 动态更新 ”复选框。
  4. 若要根据客户端发出的 DHCP 请求类型更新客户端的 DNS 记录,请单击选择 仅当 DHCP 客户端请求时动态更新 DNS A 和 PTR 记录。 (仅当客户端发出请求时才会发生此更新。)
  5. 若要始终更新客户端的转发和反向查找记录,请单击以选择 “始终”动态更新 DNS A 和 PTR 记录
  6. 单击此项可选中 “删除租约时放弃 A 和 PTR 记录 ”复选框,以便 DHCP 服务器在客户端的 DHCP 租约过期且未续订时删除该记录。

默认情况下,动态更新在基于 Windows Server 的客户端上配置。 若要禁用所有网络接口的动态更新,请执行以下步骤:

  1. 依次单击“开始”、“运行”,键入 regedit,然后单击“确定”

  2. 找到并单击以下注册表子项:

  3. 在“编辑”菜单上,指向“新建”,然后单击“DWORD 值”

  4. 键入 connections,然后按 Enter。

  5. 在“编辑 DWORD 值”的“数值数据”框中键入“1”,然后选择“确定”

  6. 退出注册表编辑器。