Безопасное динамическое обновление в Windows Server доступно только для зон, интегрированных в Active Directory. 12

Процесс безопасного динамического обновления включает следующие шаги: 1

1. DNS-клиент запрашивает предпочтительный DNS-сервер, чтобы определить, какой DNS-сервер является доверенным для имени домена, которое он пытается обновить. 1
2. DNS-клиент пытается выполнить стандартное динамическое обновление. 1 Если зона настроена для разрешения только безопасных динамических обновлений, DNS-сервер отказывается от небезопасного обновления. 1
3. Если зона настроена для стандартного динамического обновления, а не для безопасного, DNS-сервер принимает попытку DNS-клиента добавлять, удалять или изменять записи ресурсов в этой зоне. 1
4. DNS-клиент и DNS-сервер согласовывают базовый механизм безопасности. 1 Клиенты динамического обновления Windows и DNS-серверы могут использовать только протокол Kerberos. 1
5. С помощью механизма безопасности DNS-сервер и DNS-клиент проверяют свои идентичности и устанавливают контекст безопасности. 1
6. DNS-клиент отправляет запрос динамического обновления DNS-серверу. 1 Этот запрос содержит записи ресурсов для добавления, удаления или изменения данных. 1
7. Сервер пытается обновить Active Directory с помощью учётных данных клиента и отправляет результат обновления клиенту. 1 Эти результаты также подписаны с помощью контекста безопасности и подписи, переданной в записи ресурсов TSIG, включённой в ответ. 1

По умолчанию после интеграции зоны с Active Directory DNS-серверы под управлением Windows Server обеспечивают только безопасные динамические обновления. 2