У меня есть контроллер домена Windows 2012 с серверами DNS и DHCP. По-видимому, настройка по умолчанию Динамически обновлять записи DNS A и PTR только по запросу клиентов DHCP..
(Это под Scope Properties
-> DNS
)
Есть ли обратная сторона выбора Всегда динамически обновлять записи DNS A и PTR?
Какая разница между этим и Динамически обновлять записи DNS A и PTR для DHCP-клиентов, которые не запрашивают обновления (например, клиентов под управлением Windows NT 4.0)?
Это зависит от того, чем вы хотите заниматься.
По умолчанию компьютер с Windows обращается напрямую к DNS и обновляет свой собственный A
запись, и он попросит DHCP обновить PTR
запись.
Включив Всегда динамически обновлять DNS A
и PTR
записи вы говорите DHCP обновить обе записи, даже если клиент запрашивает только обновление PTR
.
В наши дни пример NT 4.0 не так актуален, поэтому рассмотрим смешанную среду, в которой у вас есть клиенты Windows и Mac (или Linux).
Машины Windows обрабатывают свои динамические обновления DNS (или запрашивают это у DHCP).
Но клиенты Mac / Linux этого не делают. Эта опция позволяет DHCP создавать записи для этих машин, которые не запрашивают или не могут запрашивать динамические обновления DNS.
Что касается использования группы DnsUpdateProxy, насколько я понимаю, в эту группу должны входить только DHCP-серверы, а не пользователь динамического обновления DNS. Учетная запись пользователя должна быть добавлена в конфигурацию DHCP-сервера, а не в группу DnsUpdateProxy.
Группа DnsUpdateProxy предназначена для DNS-клиентов. Пользователь не является клиентом, это механизм, используемый клиентом (DHCP-сервером) для динамического обновления DNS, когда у вас включены только безопасные обновления. Клиент остается DHCP-сервером.
Когда DHCP-сервер находится на контроллере домена, помимо включения сервера в группу и добавления пользователя в конфигурацию DHCP, вам также необходимо отключить OpenACLOnProxyUpdates. Если вы этого не сделаете, вы добавите уязвимость, потому что членство в группе DnsUpdateProxy дает слишком много полномочий для записей DNS.
Некоторые школы мысли предполагают, что DHCP на контроллере домена не должен быть членом DnsUpdateProxy, а должен иметь только пользователя обновления DNS, назначенного DHCP. Это может быть верно для более старых версий Windows Server, но для 2012R2 и более поздних версий из технической документации я понял, что сервер все еще должен быть в группе DnsUpdateProxy, но из-за того, что он является контроллером домена, права членства в этой группе открывают уязвимость.
Итак, если у вас есть DHCP на контроллере домена с включенным безопасным динамическим обновлением DNS, вы также должны выполнить эту команду на контроллере домена, на котором запущен DHCP, чтобы его DNS не позволял «чужим» обновлениям изменять записи, принадлежащие DHCP:
dnscmd / config / OpenAclOnProxyUpdates 0
Итог - группа DnsUpdateProxy не предназначена для какого-либо пользовательского объекта - она должна использоваться только для объектов DHCP-сервера (DHCP-клиентов) и в первую очередь предназначена для "лучших практик" размещения вашего DHCP-сервера на сервере, отличном от DC, чтобы предоставить необходимые разрешения для динамического обновления DNS. Добавление пользователя безопасного обновления в эту группу не имеет смысла.