DHCP 服务器更新 Windows DNS 服务器的流程摘要。
配置托管 DHCP 服务器以更新需要在 Windows 服务器和 Address Manager 上进行配置的 Windows DNS 服务器:
Kerberos 身份验证和 TSIG 密钥将 GSS-TSIG 用于在 Windows DNS 服务器和 DHCP 服务器之间建立安全的 DDNS 更新。DHCP 服务器必须具有在 Windows Kerberos 数据库中定义的 Kerberos 服务主体(用户帐户)才能使用 GSS-TSIG。下图描述了使用 GSS-TSIG 保护 DDNS 更新的方式:
- DHCP 客户端请求 IP 地址。
- DHCP 服务器与 Kerberos 服务器协商安全上下文。在此协商流程中,Kerberos 执行以下步骤:
- 接收并验证客户端请求
- 授予票据授予票据 (TGT)
- 授予服务票据
- DHCP 服务器将使用 GSS-TSIG 签名的 DDNS 更新发送到 Microsoft Windows DNS 服务器。更新包含以下记录:
- 正向区域:
- A — 地址记录
- TXT — 文本记录
- 反向区域:
- PTR — 指针记录
- 正向区域:
- Windows DNS 服务器验证并完成 DDNS 更新。
- Windows DNS 服务器向 DHCP 服务器发送 GSS-TSIG 签名响应,确认更新。
- DHCP 服务器分配 IP 地址。