Чи є недолік завжди оновлювати DNS від DHCP?

13

У мене є контролер домену Windows 2012, на якому працюють сервери DNS і DHCP. Налаштуваннями за замовчуванням, як видається, є динамічне оновлення записів DNS A і PTR лише за запитом клієнтів DHCP .

(Це під Scope Properties-> DNS)

Чи є недолік у виборі Завжди динамічно оновлювати записи DNS A та PTR ?

Яка різниця між цим та Динамічно оновлювати записи DNS A та PTR для клієнтів DHCP, які не вимагають оновлень (наприклад, клієнтів під керуванням Windows NT 4.0) ?

domain-name-system  windows-server-2012  dhcp 
Роджер Ліпскомб
джерело

Відповіді:

8

Чи є недолік у виборі Завжди динамічно оновлювати записи DNS A та PTR?

Це залежить від того, що ви хочете зробити.

За замовчуванням машина Windows буде говорити безпосередньо з DNS та оновлювати власну Aзапис, і він попросить DHCP оновити PTRзапис.

Дозволяючи Завжди динамічно оновлювати DNS Aі PTRзаписи, ви говорите DHCP оновлювати обидва записи, навіть якщо клієнт просить лише оновити PTR.

Яка різниця між цим та "... для клієнтів DHCP, які не вимагають оновлень ..."

Приклад NT 4.0 не є настільки актуальним в наші дні, тому розгляньте змішане середовище, де у вас є клієнти Windows та Mac (або Linux).

Машини Windows обробляють свої динамічні оновлення DNS (або вони просять DHCP зробити це).

Але клієнти Mac / Linux цього не роблять. Ця опція дозволяє DHCP створювати записи для цих машин, які не вимагають або не можуть запитувати динамічні оновлення DNS.

Деякі речі, які слід врахувати:

  • Ви повинні створити спеціальний, непривілейований обліковий запис користувача AD для DHCP, який використовуватиметься для динамічних оновлень DNS, і додати його до групи DnsUpdateProxy (це особливо важливо, якщо DHCP працює на контролері домену).
  • DHCP завжди реєструє ім'я, повідомлене клієнтом, навіть якщо ви налаштували бронювання. Якщо клієнт повідомить про ім’я, відмінне від того, яке ви вказали в бронюванні, ім’я бронювання буде перезаписано.
  • Динамічні записи DNS, встановлені через DHCP, матимуть на них часову позначку. Ви повинні правильно налаштувати DNS, щоб видалити ці записи, навіть якщо у вас встановлено DHCP для видалення записів, коли термін оренди закінчується (добре це мати, але є багато випадків, коли цього просто не відбувається).
британіст
джерело
Я думаю, ти це прибив. Я, як правило, встановлюю прибирання на зоні кожні 24 години, це добре тримає зони.
Громадянин
1
"Увімкнувши Завжди динамічно оновлювати записи DNS A і PTR, ви говорите DHCP оновити обидві записи, навіть якщо клієнт просить лише оновити PTR." ... і чи є недолік цього зробити?
Роджер Ліпскомб
@Roger Lipscombe Немає загальних недоліків, про які я можу подумати, але я не можу реально сказати, чи є мінус у вашій ситуації. Я подумав, що пояснення ефекту дозволить вам визначити своє оточення.
британіст
"Якщо клієнт повідомляє ім'я, яке відрізняється від того, яке ви вказали в бронюванні, ім'я застереження буде замінено." Я б назвав будь-які зміни в застереженні зворотною стороною. Ми постійно втрачаємо бронювання, цікавимося, чи спеціальний користувач робить більше, ніж просто змінювати назву бронювання.
rjt
0

Що стосується використання групи DnsUpdateProxy, я розумію, що до цієї групи повинні входити лише сервери DHCP, а не користувач динамічного оновлення DNS. Обліковий запис користувача повинен бути доданий до конфігурації сервера DHCP, а не до групи DnsUpdateProxy.

Група DnsUpdateProxy призначена для клієнтів DNS. Користувач не є клієнтом, це механізм, який використовує клієнт (сервер DHCP) для здійснення динамічних оновлень DNS, якщо у вас лише ввімкнено захищені оновлення. Клієнт залишається сервером DHCP.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Коли сервер DHCP знаходиться на постійному струмі, крім того, щоб зробити серверним членом групи та додати користувача до конфігурації DHCP, вам також потрібно вимкнути OpenACLOnProxyUpdates. Якщо ви цього не зробите, ви додаєте вразливість, оскільки членство в групі DnsUpdateProxy дає занадто багато повноважень щодо записів DNS.

Деякі школи думки припускають, що DHCP на постійному струмі не повинен бути членом DnsUpdateProxy, і лише користувач оновлення DNS повинен бути призначений DHCP. Це може бути справедливо для старих Windows Server, але для 2012R2 і пізніших версій, я розумію, що я маю від технічних документів, що сервер все ще повинен бути в групі DnsUpdateProxy, але через те, що він є постійним постійним доступом, дозволи членів цієї групи відкривають вразливість.

Отже, якщо у вас DHCP на постійному струмі з увімкненим захищеним динамічним оновленням DNS, вам слід також запустити цю команду на постійному струмі, на якому працює DHCP, тому його DNS не дозволить "іноземним" оновленням змінювати записи, що належать DHCP:

dnscmd / config / OpenAclOnProxyUpdates 0

Підсумок - група DnsUpdateProxy не призначена для жодного користувальницького об’єкта - вона повинна використовуватися лише для об’єктів сервера DHCP (клієнтів DHCP), і в першу чергу призначена для "найкращих практик" розміщення вашого DHCP-сервера на не-DC сервері, щоб надайте необхідні дозволи для динамічного оновлення DNS. Додавання користувача захищеного оновлення до цієї групи не має жодної мети.

JimS
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.