Во-первых, извините, если это расплывчато, но я не очень хорошо знаком с терминологией DNS или DNS.
Что я пытаюсь сделать:
Я хочу ограничить имена хостов, которым разрешено динамически обновлять DNS. Я не хочу, чтобы злоумышленник отправлял динамическое обновление DNS с тем же именем хоста, что и контроллер домена, или сервер RADIUS, или что-то в этом роде.
Вот почему это проблема:
У нас работает магазин смешанной среды, и у нас много устройств, не привязанных к AD, поэтому я не могу ограничить обновления DNS только безопасными.
Подскажите, пожалуйста, как это исправить и как это называется? DNS работает на контроллерах домена Windows Server 2008 R2.
Записи DNS Windows имеют списки управления доступом. Проверьте и / или установите их.
Вообще говоря, динамически обновляемые имена хостов / записи A позволяют любому обновлять их, а статические - нет, но в любом случае это поведение можно настроить.
При создании новой записи A / имени хоста у вас есть возможность разрешить любому аутентифицированному пользователю изменять запись или нет:
И похоже, что "не" - это то, что вы предпочли бы. К счастью для вас, это значение по умолчанию.
Фактически, настройки по умолчанию работают очень хорошо, поскольку они не позволят никому отравить записи DNS или захватить запись A контроллера домена в таблице DNS, просто переименовав свой компьютер и выполнив динамическое обновление DNS. Поэтому, если ваша среда DNS не была явно настроена особенно плохим и очень специфическим образом, вам и вашему боссу не о чем беспокоиться.
Но не верьте мне на слово ... проверьте списки управления доступом самостоятельно и попытайтесь перехватить записи DNS контроллера домена (или чего-то еще) с помощью неаутентифицированного клиента.
Разрешение конфликтов имен
Если во время регистрации динамического обновления клиент определяет, что его имя уже зарегистрировано в DNS с IP-адресом, принадлежащим другому компьютеру, по умолчанию клиент пытается заменить регистрацию IP-адреса другого компьютера новым IP-адресом. Это означает, что для зон, которые не настроены для безопасного динамического обновления, любой пользователь в сети может изменить регистрацию IP-адреса любого клиентского компьютера. Однако для зон, которые настроены для безопасного динамического обновления, только авторизованные пользователи могут изменять запись ресурса.
Вы можете изменить настройку по умолчанию, чтобы вместо замены IP-адреса клиент отказывался от процесса регистрации и регистрировал ошибку в средстве просмотра событий. Для этого добавьте запись DisableReplaceAddressesInConflicts со значением 1 (DWORD) в следующий подраздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
Запись может быть 1 или 0, что указывает одно из следующих значений:
1. Если имя, которое пытается создать клиент, уже существует, клиент не пытается его перезаписать.
0. Если имя, которое пытается создать клиент, уже существует, клиент пытается его перезаписать. Это значение по умолчанию.