Как работает безопасное динамическое обновление в Windows Server?

Безопасное динамическое обновление в Windows Server доступно только для зон, интегрированных в Active Directory. learn.microsoft.com video2.skills-academy.com

Процесс безопасного динамического обновления включает следующие шаги: learn.microsoft.com

1. DNS-клиент запрашивает предпочтительный DNS-сервер, чтобы определить, какой DNS-сервер является доверенным для имени домена, которое он пытается обновить. learn.microsoft.com
2. DNS-клиент пытается выполнить стандартное динамическое обновление. learn.microsoft.com Если зона настроена для разрешения только безопасных динамических обновлений, DNS-сервер отказывается от небезопасного обновления. learn.microsoft.com
3. Если зона настроена для стандартного динамического обновления, а не для безопасного, DNS-сервер принимает попытку DNS-клиента добавлять, удалять или изменять записи ресурсов в этой зоне. learn.microsoft.com
4. DNS-клиент и DNS-сервер согласовывают базовый механизм безопасности. learn.microsoft.com Клиенты динамического обновления Windows и DNS-серверы могут использовать только протокол Kerberos. learn.microsoft.com
5. С помощью механизма безопасности DNS-сервер и DNS-клиент проверяют свои идентичности и устанавливают контекст безопасности. learn.microsoft.com
6. DNS-клиент отправляет запрос динамического обновления DNS-серверу. learn.microsoft.com Этот запрос содержит записи ресурсов для добавления, удаления или изменения данных. learn.microsoft.com
7. Сервер пытается обновить Active Directory с помощью учётных данных клиента и отправляет результат обновления клиенту. learn.microsoft.com Эти результаты также подписаны с помощью контекста безопасности и подписи, переданной в записи ресурсов TSIG, включённой в ответ. learn.microsoft.com

По умолчанию после интеграции зоны с Active Directory DNS-серверы под управлением Windows Server обеспечивают только безопасные динамические обновления. video2.skills-academy.com