Назад | Перейти на главную страницу

Есть ли обратная сторона постоянного обновления DNS с DHCP?

У меня есть контроллер домена Windows 2012 с серверами DNS и DHCP. По-видимому, настройка по умолчанию Динамически обновлять записи DNS A и PTR только по запросу клиентов DHCP..

(Это под Scope Properties -> DNS)

Есть ли обратная сторона выбора Всегда динамически обновлять записи DNS A и PTR?

Какая разница между этим и Динамически обновлять записи DNS A и PTR для DHCP-клиентов, которые не запрашивают обновления (например, клиентов под управлением Windows NT 4.0)?

Есть ли недостаток в выборе Всегда динамически обновлять записи DNS A и PTR?

Это зависит от того, чем вы хотите заниматься.

По умолчанию компьютер с Windows обращается напрямую к DNS и обновляет свой собственный A запись, и он попросит DHCP обновить PTR запись.

Включив Всегда динамически обновлять DNS A и PTR записи вы говорите DHCP обновить обе записи, даже если клиент запрашивает только обновление PTR.

В чем разница между этим и "... для DHCP-клиентов, которые не запрашивают обновления ..."

В наши дни пример NT 4.0 не так актуален, поэтому рассмотрим смешанную среду, в которой у вас есть клиенты Windows и Mac (или Linux).

Машины Windows обрабатывают свои динамические обновления DNS (или запрашивают это у DHCP).

Но клиенты Mac / Linux этого не делают. Эта опция позволяет DHCP создавать записи для этих машин, которые не запрашивают или не могут запрашивать динамические обновления DNS.

Что следует учитывать:

  • Вам следует создать выделенную непривилегированную учетную запись пользователя AD для DHCP, чтобы использовать ее для динамических обновлений DNS, и добавить ее в группу DnsUpdateProxy (это особенно важно, если DHCP работает на контроллере домена).
  • DHCP всегда регистрирует имя, сообщаемое клиентом, даже если вы настроили резервирование. Если клиент сообщает имя, отличное от того, которое вы указали в резервировании, имя резервирования будет перезаписано.
  • Записи динамического DNS, установленные через DHCP, будут иметь временную метку. Вы должны правильно настроить очистку DNS для удаления этих записей, даже если у вас настроен DHCP для удаления записей по истечении срока аренды (хорошо, если это включено, но во многих случаях этого просто не происходит).

Что касается использования группы DnsUpdateProxy, насколько я понимаю, в эту группу должны входить только DHCP-серверы, а не пользователь динамического обновления DNS. Учетная запись пользователя должна быть добавлена ​​в конфигурацию DHCP-сервера, а не в группу DnsUpdateProxy.

Группа DnsUpdateProxy предназначена для DNS-клиентов. Пользователь не является клиентом, это механизм, используемый клиентом (DHCP-сервером) для динамического обновления DNS, когда у вас включены только безопасные обновления. Клиент остается DHCP-сервером.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Когда DHCP-сервер находится на контроллере домена, помимо включения сервера в группу и добавления пользователя в конфигурацию DHCP, вам также необходимо отключить OpenACLOnProxyUpdates. Если вы этого не сделаете, вы добавите уязвимость, потому что членство в группе DnsUpdateProxy дает слишком много полномочий для записей DNS.

Некоторые школы мысли предполагают, что DHCP на контроллере домена не должен быть членом DnsUpdateProxy, а должен иметь только пользователя обновления DNS, назначенного DHCP. Это может быть верно для более старых версий Windows Server, но для 2012R2 и более поздних версий из технической документации я понял, что сервер все еще должен быть в группе DnsUpdateProxy, но из-за того, что он является контроллером домена, права членства в этой группе открывают уязвимость.

Итак, если у вас есть DHCP на контроллере домена с включенным безопасным динамическим обновлением DNS, вы также должны выполнить эту команду на контроллере домена, на котором запущен DHCP, чтобы его DNS не позволял «чужим» обновлениям изменять записи, принадлежащие DHCP:

dnscmd / config / OpenAclOnProxyUpdates 0

Итог - группа DnsUpdateProxy не предназначена для какого-либо пользовательского объекта - она ​​должна использоваться только для объектов DHCP-сервера (DHCP-клиентов) и в первую очередь предназначена для "лучших практик" размещения вашего DHCP-сервера на сервере, отличном от DC, чтобы предоставить необходимые разрешения для динамического обновления DNS. Добавление пользователя безопасного обновления в эту группу не имеет смысла.