Небезопасный DNS-сервер - разрешить динамические обновления только с DHCP-сервера.
У меня есть автономный DNS-сервер, настроенный для динамических обновлений «Безопасные и небезопасные». У меня также установлена роль DHCP на том же сервере.
Как убедиться, что только DHCP-сервер может обновлять записи в DNS? Я не хочу позволять клиентам напрямую обновлять записи DNS. Я надеюсь, что в сочетании с настройкой «Защита имени» на DHCP-сервере, по крайней мере, никто не сможет злонамеренно перезаписать существующую динамическую запись.
Этого должно быть достаточно, так как я настроил свой коммутатор для 802.1x, а также для отслеживания DHCP, чтобы разрешить только доверенные IP-адреса, назначенные DHCP, в VLAN. Я пытаюсь избегать использования Active Directory в этой сети.
Сначала удалите небезопасный режим.
Как и в безопасном режиме, только что подключенная машина может обновлять свои записи. (и служба dhcp под dhcpproxy acl) обновляют dns.
Во-вторых, чтобы ответить на ваш вопрос, проверьте, что acl; чтобы быть уверенным его набор.
Взято из этого ответа: Как ограничить динамическое обновление DNS
Я нигде не могу найти этот параметр, задокументированный, но на прошлой неделе я нашел этот ключ на тестовом сервере, которым управляю.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\AllowUpdate
Если этот ключ существует и имеет значение 0, динамические обновления от клиентов отклоняются. Я не уверен, как это повлияет на обновления службы DHCP на том же сервере, но вы можете попробовать это и посмотреть, может ли это быть альтернативой блокировке брандмауэра.