动态更新允许 DNS 客户端计算机在发生更改时向 DNS 服务器注册和更新其资源记录。 此功能减少了手动管理区域记录的需求，尤其是对于经常移动或更改位置的客户端，并使用 DHCP 获取 IP 地址。

DNS 客户端和服务器服务支持动态更新，如 RFC 2136 中所述。 DNS 服务器服务可以按区域启用或禁用动态更新。 默认情况下，Windows Server DNS 客户端服务在为 TCP/IP 配置时动态更新 DNS 中的主机 （A） 资源记录。 DNS 服务器服务配置为默认仅允许安全的动态更新。

协议概述

RFC 2136 引入了 UPDATE 消息格式，允许在检查先决条件时在指定区域中添加和删除资源记录。 更新是原子的，这意味着必须满足所有条件才能进行更新。

必须在该区域的主 DNS 服务器上提交区域更新。 辅助 DNS 服务器使用复制拓扑转发更新，直到它到达主 DNS 服务器。 使用 Active Directory 集成区域时，可将区域中资源记录的更新发送到其数据存储包含该区域的 Active Directory 域控制器上运行的任何 DNS 服务器。

区域传输进程启动时，它会锁定该区域。 此锁可确保辅助 DNS 服务器在传输数据时接收区域的一致视图。 在此期间，区域不接受动态更新。 如果区域很大且经常锁定传输，则可能会耗尽动态更新客户端并导致系统不稳定。 为了避免此问题，Windows Server DNS 服务器服务会排队更新在区域传输期间到达的请求，并在传输完成后处理这些请求。

计算机如何更新其 DNS 名称

默认情况下，以静态方式配置 TCP/IP 的计算机会尝试以动态方式针对其已安装网络连接所配置并使用的 IP 地址注册主机 (A) 和指针 (PTR) 资源记录。 所有计算机都根据其 FQDN 注册记录。

DNS 客户端不会尝试动态更新以下项：

通过远程访问或虚拟专用网络 (VPN) 连接。 若要修改此配置，可以修改特定网络连接的高级 TCP/IP 设置或修改注册表。

顶级域 （TLD） 区域。 使用单标签名称命名的任何区域都被视为 TLD 区域，例如com， edu， blank。 my-company

此外，默认情况下，计算机 FQDN 的主 DNS 后缀部分与加入计算机的 Active Directory 域的名称相同。 若要允许不同的主 DNS 后缀，域管理员可以通过在域对象容器中修改 msDS-AllowedDNSSuffixes 属性来创建允许的后缀限制列表。 域管理员可以使用 Active Directory 服务接口（ADSI）或轻型目录访问协议（LDAP）管理属性。 出于以下任何原因或事件，可以发送动态更新：

在任一已安装网络连接的 TCP/IP 属性配置中添加、删除或修改 IP 地址。

打开计算机进行启动时。

成员服务器将升级到域控制器。

IP 地址租约会更改或续订 DHCP 服务器的任何已安装的网络连接，例如，启动计算机时或使用 ipconfig /renew 命令时。

该 ipconfig /registerdns 命令用于在 DNS 中手动强制刷新客户端名称注册。

Important

如果使用 ipconfig /registerdns，则 DNS 客户端服务会尝试直接注册其 DNS 记录，绕过 DHCP 服务器。 即使 DHCP 服务器配置为 始终动态更新 DNS A 和 PTR 记录，也会发生此注册。 如果客户端无权更新其资源记录，则注册会以无提示方式失败。 如果 DNS 客户端具有此权限，则会更新资源记录。 可以重置权限，使 DHCP 服务器不再能够对资源记录执行将来的更新。

为运行 Windows 的 DHCP 客户端更新 DNS 注册的建议方法是使用 ipconfig /renew。 不使用 ipconfig /registerdns。

当上述事件之一触发动态更新时，DNS 客户端服务会发送更新。 此触发器的设计是为了在 IP 地址信息发生变化时，能够在 DNS 中执行相应更新，以便同步计算机的名称与地址映射关系。 DNS 客户端服务对系统上使用的所有网络连接执行此函数，包括未配置为使用 DHCP 的连接。

此更新过程假定安装默认值对运行 Windows Server 的服务器有效。 配置高级 TCP/IP 属性以使用非默认 DNS 设置时，可以调整特定名称和更新行为。

除了计算机的完整计算机名称（或主名称），还可以在 DNS 中配置并选择性地注册或更新特定于连接的 DNS 名称。

动态更新的工作原理

当计算机上的 DNS 名称或 IP 地址发生更改时，通常会请求动态更新。 例如，假设首先配置了名为 oldhost 以下名称的客户端：

计算机名称： oldhost

DNS 域名： example.contoso.com

完整计算机名称： oldhost.example.contoso.com

在此示例中，未为计算机配置特定于连接的 DNS 域名。 稍后，计算机从 oldhost 重命名为 newhost，从而导致系统上发生以下名称更改：

计算机名称： newhost

DNS 域名： example.contoso.com

完整计算机名称： newhost.example.contoso.com

在系统属性中应用名称更改后，系统会提示重启计算机。 计算机重启 Windows 时，DNS 客户端服务将执行以下顺序来更新 DNS：

DNS 客户端服务使用计算机的 DNS 域名发送 SOA 类型查询。

客户端计算机使用当前配置的计算机的 FQDN（如 newhost.example.contoso.com）作为此查询中指定的名称。

包含客户端 FQDN 的区域的权威 DNS 服务器响应 SOA 类型查询。

对于标准主区域，SOA 查询响应中返回的主服务器（所有者）是固定的，是静态的。 它始终与随区域一起存储的 SOA 资源记录中显示的确切 DNS 名称匹配。 如果更新的区域是目录集成的，则 FQDN 中 Active Directory 域的域控制器上运行的任何 DNS 服务器都可以响应。 它可以在 SOA 查询响应中动态插入其自己的名称作为区域的主服务器（所有者）。

然后，DNS 客户端服务会尝试联系主 DNS 服务器。

该客户端会处理针对其名称的 SOA 查询响应，以确定授权为接受其名称时所用主服务器的 DNS 服务器的 IP 地址。 然后，它会根据需要执行以下步骤序列，以联系并动态更新其主服务器：

它将动态更新请求发送到 SOA 查询响应中确定的主服务器。

如果更新成功，则不会采取进一步措施。

如果此更新失败，客户端接下来会针对 SOA 记录中指定的区域名称发送 NS 类型查询。

当它收到对此查询的响应时，它会向响应中列出的第一个 DNS 服务器发送 SOA 查询。

解析 SOA 查询后，客户端会将动态更新发送到返回的 SOA 记录中指定的服务器。

如果更新成功，则不会采取进一步措施。

如果此更新失败，客户端将通过向响应中列出的下一个 DNS 服务器发送请求来重复 SOA 查询过程。

联系可执行更新的主 DNS 服务器后，客户端会发送更新请求，DNS 服务器处理更新请求。

更新请求的内容包括为 newhost.example.contoso.com 添加 A（和可能的 PTR）资源记录的说明，以及为之前注册的名称 oldhost.example.contoso.com 移除这些相同类型的记录的说明。

DNS 服务器还会检查以确保客户端请求的更新是被允许的。 对于标准主区域，不会保护动态更新，因此任何客户端更新尝试都成功。 对于 Active Directory 集成区域，使用基于目录的安全设置来保护和执行更新。 有关详细信息，请参阅本文后面的 “安全动态更新 ”部分。

动态更新会定期发送或刷新。 默认情况下，计算机每七天刷新一次。 如果更新不会对区域数据进行更改，则该区域将保留在其当前版本，并且不会写入任何更改。 仅当名称或地址发生更改时，更新才会发生区域更改或区域传输增加。

如果名称处于非活动状态或未在刷新间隔内更新（7 天），则不会从 DNS 区域中删除。 DNS 没有释放或逻辑删除名称的机制。 但是，应用新名称时，DNS 客户端会尝试删除旧名称记录。 DNS 客户端还会尝试在发生地址更改时更新名称记录。

当 DNS 客户端服务为计算机注册 A 和 PTR 资源记录时，它会将主机记录的默认缓存生存时间（TTL）设置为 15 分钟。 此 TTL 确定其他 DNS 服务器和客户端在查询响应中包括计算机记录时缓存的时长。

生存时间

每当动态更新客户端在 DNS 中注册时，关联的 A 和 PTR 资源记录都包括生存时间 (TTL)。 默认情况下，对于 Netlogon 服务注册的记录，TTL 设置为 10 分钟。 对于 DHCP 客户端服务注册的记录，TTL 设置为 15 分钟。 如果 DNS 服务器服务为其自己的区域动态注册记录，则默认 TTL 为 20 分钟。 可以在注册表中更改默认设置。 较小的值会导致缓存条目更快地过期，这会增加 DNS 流量，但会降低缓存记录变得过时的风险。 快速过期条目对于经常续订其 DHCP 租约的计算机非常有用。 长时间的保留时间对于不经常续订其 DHCP 租约的计算机非常有用。

解决名称冲突

当 DNS 客户端服务尝试注册 A 记录时，它会检查权威 DNS 区域是否已包含相同名称的 A 记录，但 IP 地址不同。 默认情况下，DNS 客户端服务尝试将现有 A 记录（或记录）替换为包含 DNS 客户端 IP 地址的新 A 记录。 因此，网络上的任何计算机都可以修改现有 A 记录，除非使用安全动态更新。 为安全动态更新配置的区域仅允许经过授权的用户修改资源记录。

可以更改默认设置，以便 DNS 客户端服务结束注册过程并在事件查看器中记录错误，而不是替换现有的 A 记录。 有关详细信息，请参阅本文后面的 “安全动态更新 ”部分。

DNS 和 DHCP

Windows DNS 客户端具有动态更新感知功能，可以启动动态更新过程。 当客户端租用 IP 地址或续订租约时，DNS 客户端会与 DHCP 服务器协商动态更新的过程。 此协商确定哪些计算机更新客户端的 A 和 PTR 资源记录。 DNS 客户端和 DHCP 服务器协商谁负责更新记录。 客户端和服务器将动态更新请求发送到对要更新的名称具有权威性的主要 DNS 服务器。

Windows Server DHCP 服务器服务可以更新不支持 DHCP 客户端服务 FQDN 选项的客户端的 DNS 记录。 可以在 DHCP 控制台的服务器属性的 DNS 选项卡中启用此功能。 DHCP 服务器首先从 DHCP REQUEST 数据包中获取旧客户端的名称。 然后，它会追加为该范围提供的域名，并注册 A 和 PTR 资源记录。

在某些情况下，当 DHCP 客户端的租约过期时，DNS 服务器上可能会出现过时的 PTR 或 A 资源记录。 例如，当 DNS 客户端尝试与 DHCP 服务器协商动态更新过程时，DNS 客户端必须同时注册 A 和 PTR 资源记录本身。 稍后，如果客户端从网络中被不当删除，客户端无法注销其 A 和 PTR 资源记录，并且它们变得陈旧。

如果某个过时的资源记录出现在只允许安全动态更新的区域中，则任何计算机都无法为该 A 资源记录中的名称注册任何其他资源记录。 若要防止过时的 PTR 和 A 资源记录出现问题，可以启用老化和清理功能。 有关老化和清理功能的详细信息，请参阅 DNS 老化和清理。

若要为动态更新提供容错，请考虑对接受来自 Windows 客户端的动态更新的那些区域的 Active Directory 集成。 若要加快发现权威 DNS 服务器的速度，可以使用首选和备用 DNS 服务器的列表来配置每个客户端，这些服务器是该目录集成区域的主要服务器。 如果客户端由于 DNS 服务器不可用而无法使用首选 DNS 服务器更新区域，则客户端可以尝试备用服务器。 当首选 DNS 服务器可用时，它将加载包含客户端更新的已更新目录集成区域。

动态更新过程

在本部分中，我们将介绍 DHCP 客户端、静态配置的客户端、远程访问客户端和多宿主客户端的动态更新过程。

DHCP 客户端进程

若要启动动态更新过程，DHCP 客户端通过使用 DHCP 客户端服务 FQDN 选项，将其 FQDN 发送到 DHCP 服务器的 DHCPREQUEST 数据包中。 然后，DHCP 服务器通过发送包含 FQDN 选项（选项代码 81）的 DHCP 确认（DHCPACK）消息来回复 DHCP 客户端。

下表列出了数据包的 FQDN 选项的 DHCPREQUEST 字段。

Field

Explanation

Code

指定此选项的代码 (81)。

Len

指定此选项的长度（以八进制为单位）（最小为 4）。

Flags

可以是以下其中一个值：

0. 客户端想要注册 A 资源记录并请求服务器更新 PTR 资源记录。

1.客户端希望服务器注册 A 和 PTR 资源记录。

3.无论客户端的请求如何，DHCP 服务器都会注册 A 和 PTR 资源记录。

RCODE1 和 RCODE2

DHCP 服务器使用这些字段来指定由客户端代表执行的 A 和 PTR 资源记录注册的响应代码，并指示它在发送 DHCPACK 之前是否已尝试进行更新。

域名

指定客户端的 FQDN。

DHCP 客户端发送 FQDN 选项的条件取决于客户端正在运行的作系统以及客户端的配置方式。 DHCP 服务器执行的作还取决于服务器正在运行的作系统以及服务器的配置方式。

默认情况下，Windows DHCP 客户端服务使用以下过程。

Windows DHCP 客户端服务发送 FQDN 选项，其中“标志”字段设置为 0。 此标志请求客户端更新 A 资源记录，DHCP 服务器服务更新 PTR 资源记录。

客户端等待来自 DHCP 服务器的响应。 除非 DHCP 服务器将“标志”字段设置为 3，否则 DNS 客户端会启动 A 资源记录的更新。

如果 DHCP 服务器不支持或未配置为注册 DNS 记录，则响应中不包含 FQDN。 在这种情况下，DNS 客户端尝试注册 A 和 PTR 资源记录。

根据 DHCP 客户端请求的内容，DHCP 服务器可以采取不同的作。

如果 DHCP 客户端发送的消息 DHCPREQUEST 没有 FQDN 选项，则行为取决于 DHCP 服务器的类型及其配置。 如果将 DHCP 服务器配置为代表不支持 FQDN 选项的 DHCP 客户端更新记录，则 DHCP 服务器会更新这两条记录。

在以下情况下，DHCP 服务器不执行任何作：

DHCP 服务器不支持动态更新。

DHCP 服务器配置为不对不支持 FQDN 选项的客户端执行动态更新。

DHCP 服务器配置为不注册 DNS 资源记录。

如果 Windows DHCP 客户端请求服务器更新 PTR 资源记录而不是 A 资源记录，则行为取决于 DHCP 服务器的类型及其配置。

服务器可以执行以下任一动作：

如果 Windows DHCP 服务器配置为不执行动态更新，则它不会在其响应中包含 FQDN 选项。 它也不会更新任一资源记录。 在这种情况下，DNS 客户端如果具备能力，会尝试更新 A 和 PTR 资源记录。

如果 Windows DHCP 服务器配置为根据 DHCP 客户端的请求进行更新，则服务器将尝试更新 PTR 资源记录。 DHCP 服务器向 DHCP 客户端发送消息 DHCPACK 。 此消息包含 FQDN 选项，其中“标志”字段设置为 0。 该 DHCPACK 消息确认 DHCP 服务器更新 PTR 记录。 然后，DNS 客户端会尝试更新 A 资源记录（如果支持）。

如果 DHCP 服务器配置为始终更新 A 和 PTR 这两条记录，则 DHCP 服务器将尝试更新这两条资源记录。 当 DHCP 服务器 DHCPACK 向 DHCP 客户端发送消息时，其中包含一个 FQDN 选项，并且“标志”字段被设置为 3，这表明 DHCP 服务器将更新 A 和 PTR 记录，通知 DHCP 客户端。 在这种情况下，DNS 客户端不会尝试更新任一资源记录。

静态配置和远程访问客户端进程

静态配置的客户端和远程访问客户端不依赖于 DHCP 服务器进行 DNS 注册。 静态配置客户端在每次启动时动态更新其 A 和 PTR 资源记录。 客户端还会每隔 24 小时更新一次以刷新 DNS 数据库中的记录。

远程访问客户端可以在建立拨号连接时动态更新 A 和 PTR 资源记录。 当用户显式关闭连接时，他们还可以尝试撤回或取消注册 A 和 PTR 资源记录。 计算机在运行 Windows Server 并具有远程访问网络连接时，会尝试动态注册此连接的 IP 地址的 A 和 PTR 记录。 默认情况下，Windows 客户端上的 DNS 客户端服务不会尝试通过远程访问或 VPN 连接进行动态更新。 若要修改此配置，可以修改特定网络连接的高级 TCP/IP 设置或修改注册表。

在所有作系统中，如果远程访问客户端未收到尝试取消注册 DNS 资源记录的成功响应，或者由于任何其他原因在四秒内取消注册资源记录而失败，则 DNS 客户端将关闭连接。 在这种情况下，DNS 数据库可能包含过时的记录。

如果远程访问客户端无法取消注册 DNS 资源记录，则会向事件日志添加一条消息，可以使用事件查看器查看该日志。 远程访问客户端永远不会删除过时的记录，但远程访问服务器在客户端断开连接时会尝试取消注册 PTR 资源记录。

默认情况下，Windows DNS 客户端服务不会尝试自动更新 A 和 PTR 记录进行拨号连接。

多宿主客户端进程

如果动态更新客户端多宿主，这意味着客户端具有多个网络连接和关联的 IP 地址，则会为每个网络连接注册所有 IP 地址。 如果不希望它注册这些 IP 地址，可以将网络连接配置为不注册 IP 地址。

动态更新客户端不会向计算机连接到的所有命名空间中的 DNS 服务器注册所有 IP 地址。 例如，多宿主计算机 client1.example.contoso.com 连接到 Internet 和企业 Intranet。 客户端通过适配器 A（具有 IP 地址 172.16.8.7的 DHCP 适配器）连接到 Intranet。 客户端还通过适配器 B 连接到 Internet，该适配器是具有 IP 地址 10.3.3.9的远程访问适配器。 客户端使用 Intranet 上的名称服务器解析 Intranet 名称，并使用 Internet 上的名称服务器解析 Internet 名称。

安全动态更新

DNS 更新安全性仅适用于集成到 Active Directory 中的区域。 将区域集成到 Active Directory 中时，DNS 控制台中提供了访问控制列表（ACL），以便从 ACL 中添加或删除指定区域或资源记录的用户和组。 ACL 仅适用于 DNS 管理访问控制，不会影响 DNS 查询解析。

默认情况下，DNS 服务器和客户端的动态更新安全性按如下所示进行处理：

DNS 客户端首先尝试使用不安全的动态更新。 如果拒绝了不安全的更新，则客户端会尝试使用安全更新。

默认更新策略允许客户端尝试覆盖以前注册的资源记录，除非被阻止。

区域集成 Active Directory 后，运行 Windows Server 的 DNS 服务器默认只允许安全的动态更新。

使用基于文件的区域存储时，DNS 服务器服务的默认值是不允许对其区域进行动态更新。 对于目录集成的区域或使用基于文件的标准存储，可以更改区域以允许所有动态更新。 此设置允许接受所有更新。

动态更新是对 RFC 2136 中定义的 DNS 标准规范的补充。

可以使用注册表项限制 DNS 资源记录的动态注册。

安全动态更新的工作原理

安全动态更新过程如下所述：

为了启动安全动态更新，DNS 客户端首先启动安全上下文协商过程，在此期间，令牌使用 TKEY 资源记录在客户端和服务器之间传递。 谈判过程结束时，将建立安全上下文。

DNS 客户端将动态更新请求发送到 DNS 服务器。 此请求包含用于添加、删除或修改数据的资源记录。

使用以前建立的安全上下文对请求进行签名。

签名在 TSIG 资源记录中传递，该记录包含在动态更新数据包中。

服务器尝试使用客户端的凭据更新 Active Directory，并将更新结果发送到客户端。 这些结果还使用安全上下文和响应中包含的 TSIG 资源记录中传入的签名进行签名。

安全动态更新过程

安全动态更新过程如下所述：

DNS 客户端查询首选 DNS 服务器，以确定其尝试更新的域名的 DNS 服务器是权威的。 首选 DNS 服务器使用区域的名称和区域权威的主 DNS 服务器进行响应。

DNS 客户端尝试标准动态更新，如果区域配置为仅允许安全动态更新（Active Directory 集成区域的默认配置），则 DNS 服务器将拒绝非安全更新。 如果区域配置为标准动态更新而不是安全的动态更新，则 DNS 服务器接受 DNS 客户端尝试在该区域中添加、删除或修改资源记录。

DNS 客户端和 DNS 服务器开始 TKEY 协商。

DNS 客户端和 DNS 服务器协商基础安全机制。 Windows 动态更新客户端和 DNS 服务器只能使用 Kerberos 协议。

使用安全机制、DNS 客户端和 DNS 服务器验证各自的标识并建立安全上下文。

DNS 客户端使用已建立的安全上下文将动态更新请求发送到 DNS 服务器。 签名包含在动态更新请求数据包中包含的 TSIG 资源记录的签名字段中。 DNS 服务器使用安全上下文和 TSIG 签名验证动态更新数据包的来源。

DNS 服务器尝试在 Active Directory 中添加、删除或修改资源记录。 更新取决于 DNS 客户端是否具有适当的权限，以及是否满足先决条件。

DNS 服务器向 DNS 客户端发送回复，告知是否已成功进行更新，并使用已建立的安全上下文进行签名。 签名包含在动态更新响应数据包中包含的 TSIG 资源记录的签名字段中。 如果 DNS 客户端收到欺骗性回复，它将忽略它并等待已签名的响应。

不支持 FQDN 选项的 DHCP 客户端的安全性

不支持 FQDN 选项（选项 81）的 Windows DHCP 客户端无法进行动态更新。 如果您希望这些客户端的 A 和 PTR 资源记录能够在 DNS 中动态注册，则必须将 DHCP 服务器配置为代其执行动态更新。

让 DHCP 服务器代表不支持 FQDN 选项的 DHCP 客户端执行安全动态更新需要额外的配置以避免权限问题。 当 DHCP 服务器对名称执行安全动态更新时，它将成为该名称的所有者。 只有 DHCP 服务器才能更新该名称的任何记录。

例如，假设 DHCP 服务器 DHCP1 为名称host1.example.com创建了一个对象，然后停止了响应，随后备份 DHCP 服务器 DHCP2 尝试更新同名的记录。 host1.example.com 在这种情况下，DHCP2 无法更新名称，因为它不拥有该名称。

若要避免此问题，请使用名为 DnsUpdateProxy 的内置安全组。 如果将所有 DHCP 服务器添加为 DnsUpdateProxy 组的成员，则当第一个服务器失败时，另一台服务器可以更新一个服务器的记录。 此外，由于 DnsUpdateProxy 组的成员创建的所有对象不受保护，因此修改与 DNS 名称关联的记录集的第一个用户将成为其所有者。 升级旧客户端后，他们可以在 DNS 服务器上获取其名称记录的所有权。 如果每个注册旧客户端的资源记录的 DHCP 服务器都是 DnsUpdateProxy 组的成员，则不会发生前面讨论的问题。

使用 DnsUpdateProxy 组保护记录

当 DHCP 服务器是 DnsUpdateProxy 组的成员时，它不会保护它注册的 DNS 域名。 因此，请勿在 Active Directory 集成区域中使用此组，该组仅允许安全的动态更新，而无需采取更多步骤允许组成员创建的记录受到保护。

若要防止不安全的记录或允许 DnsUpdateProxy 组的成员在仅允许安全动态更新的区域注册记录，请创建一个专用用户帐户。 使用此用户帐户的凭据，配置 DHCP 服务器以执行 DNS 动态更新。 多个 DHCP 服务器可以使用一个专用用户帐户的凭据。

专用用户帐户是一个标准用户帐户，仅用于为 DHCP 服务器提供 DNS 动态更新注册的凭据。 每个 DHCP 服务器在使用 DNS 动态更新代表 DHCP 客户端注册名称时提供这些凭据。 专用用户帐户在要更新的区域的主 DNS 服务器所在的同一林中创建。 只要它所在的林与包含要更新的区域的主 DNS 服务器的林建立林信任，专用用户帐户也可以位于另一个林中。

在域控制器上安装时，DHCP 服务器服务将继承域控制器的安全权限。 这意味着它有权更新或删除在安全 Active Directory 集成区域中注册的任何 DNS 记录。 运行 Windows Server 的其他计算机（例如域控制器）安全地注册这些记录。 在域控制器上安装时，使用专用用户帐户的凭据配置 DHCP 服务器，以防止服务器继承域控制器的权限，并可能误用域控制器的权限。

配置专用用户帐户，并在以下情况下使用帐户凭据配置 DHCP 服务器服务：

域控制器配置为充当 DHCP 服务器。

DHCP 服务器配置为代表 DHCP 客户端执行 DNS 动态更新。

DHCP 服务器对仅配置为允许安全动态更新的 DNS 区域进行更新。

创建专用用户帐户后，可以使用 DHCP 控制台或命令 netsh dhcp server set dnscredentials通过用户帐户凭据配置 DHCP 服务器。

Note

如果提供的凭据属于属于 DnsUpdateProxy 安全组的成员的对象，则要在 DNS 中注册同名记录的下一个对象将成为记录所有者。

如果在 DNS 中注册 DHCP 客户端计算机时指定要使用的 DHCP 服务器的凭据，则不会备份这些凭据。 还原 DHCP 数据库后，必须配置新凭据。