DHCP サーバが Windows DNS サーバを更新するプロセスの概要です。
Windows DNS サーバを更新するための管理対象の DHCP サーバの構成には、Windows サーバと Address Manager
の両方の構成が必要になります。
GSS-TSIG を使用する場合、Windows DNS サーバと DHCP サーバ間の安全な DDNS アップデートを確立するために Kerberos 認証と TSIG
鍵が使用されます。GSS-TSIG を使用するためには、DHCP サーバの Windows Kerberos データベースに Kerberos サービス プリンシパル (ユーザ
アカウント) が定義されている必要があります。次の図は、DDNS アップデートが GSS-TSIG を使用して保護される方法を示します。
- DHCP クライアントは IP アドレスを要求します。
- DHCP サーバは、Kerberos サーバとセキュリティ コンテキストを交渉します。この交渉の際に、Kerberos は次の手順を実行します。
- クライアント要求の受信および確認
- Ticket Granting Ticket (TGT) の付与
- サービス チケットの付与
- DHCP サーバは GSS-TSIG によって署名された DDNS アップデートを Microsoft Windows DNS
サーバに送信します。アップデートには、次のレコードが含まれます。
- 正引きゾーン:
- A: アドレス レコード
- TXT: テキスト レコード
- 逆引きゾーン:
- PTR: ポインタ レコード
- 正引きゾーン:
- Windows DNS サーバは DDNS アップデートを確認し、完了を許可します。
- Windows DNS サーバは GSS-TSIG 署名済みの応答を DHCPサーバに送信して、アップデートを確認します。
- DHCP サーバが IP アドレスを割り当てます。