Назад | Перейти на главную страницу

Как ограничить динамическое обновление DNS

Во-первых, извините, если это расплывчато, но я не очень хорошо знаком с терминологией DNS или DNS.

Что я пытаюсь сделать:

Я хочу ограничить имена хостов, которым разрешено динамически обновлять DNS. Я не хочу, чтобы злоумышленник отправлял динамическое обновление DNS с тем же именем хоста, что и контроллер домена, или сервер RADIUS, или что-то в этом роде.

Вот почему это проблема:

У нас работает магазин смешанной среды, и у нас много устройств, не привязанных к AD, поэтому я не могу ограничить обновления DNS только безопасными.

Подскажите, пожалуйста, как это исправить и как это называется? DNS работает на контроллерах домена Windows Server 2008 R2.

Записи DNS Windows имеют списки управления доступом. Проверьте и / или установите их.

Вообще говоря, динамически обновляемые имена хостов / записи A позволяют любому обновлять их, а статические - нет, но в любом случае это поведение можно настроить.

При создании новой записи A / имени хоста у вас есть возможность разрешить любому аутентифицированному пользователю изменять запись или нет:

И похоже, что "не" - это то, что вы предпочли бы. К счастью для вас, это значение по умолчанию.

Фактически, настройки по умолчанию работают очень хорошо, поскольку они не позволят никому отравить записи DNS или захватить запись A контроллера домена в таблице DNS, просто переименовав свой компьютер и выполнив динамическое обновление DNS. Поэтому, если ваша среда DNS не была явно настроена особенно плохим и очень специфическим образом, вам и вашему боссу не о чем беспокоиться.

Но не верьте мне на слово ... проверьте списки управления доступом самостоятельно и попытайтесь перехватить записи DNS контроллера домена (или чего-то еще) с помощью неаутентифицированного клиента.

Разрешение конфликтов имен

Если во время регистрации динамического обновления клиент определяет, что его имя уже зарегистрировано в DNS с IP-адресом, принадлежащим другому компьютеру, по умолчанию клиент пытается заменить регистрацию IP-адреса другого компьютера новым IP-адресом. Это означает, что для зон, которые не настроены для безопасного динамического обновления, любой пользователь в сети может изменить регистрацию IP-адреса любого клиентского компьютера. Однако для зон, которые настроены для безопасного динамического обновления, только авторизованные пользователи могут изменять запись ресурса.

Вы можете изменить настройку по умолчанию, чтобы вместо замены IP-адреса клиент отказывался от процесса регистрации и регистрировал ошибку в средстве просмотра событий. Для этого добавьте запись DisableReplaceAddressesInConflicts со значением 1 (DWORD) в следующий подраздел реестра:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters

Запись может быть 1 или 0, что указывает одно из следующих значений:

1. Если имя, которое пытается создать клиент, уже существует, клиент не пытается его перезаписать.

0. Если имя, которое пытается создать клиент, уже существует, клиент пытается его перезаписать. Это значение по умолчанию.

(Технет)