Czy zawsze jest wadą aktualizacji DNS z DHCP?

13

Mam kontroler domeny systemu Windows 2012 z serwerami DNS i DHCP. Domyślnym ustawieniem jest Dynamiczna aktualizacja rekordów DNS A i PTR tylko na żądanie klientów DHCP .

(To jest poniżej Scope Properties-> DNS)

Czy istnieje wada wyboru opcji Zawsze dynamicznie aktualizuj rekordy DNS A i PTR ?

Jaka jest różnica między tym a dynamiczną aktualizacją rekordów DNS A i PTR dla klientów DHCP, którzy nie żądają aktualizacji (na przykład klientów z systemem Windows NT 4.0) ?

domain-name-system windows-server-2012 dhcp Roger Lipscombe
źródło

Odpowiedzi:

8

Czy istnieje wada wyboru opcji Zawsze dynamicznie aktualizuj rekordy DNS A i PTR?

To zależy od tego, co chcesz zrobić.

Domyślnie komputer z systemem Windows będzie rozmawiał bezpośrednio z DNS i aktualizował swój własny Arekord, i poprosił DHCP o aktualizację tego PTRrekordu.

Włączając opcję Zawsze dynamicznie aktualizuj DNS Ai PTRrekordy , każesz DHCP aktualizować oba rekordy, nawet jeśli klient prosi je tylko o aktualizację PTR.

Jaka jest różnica między tym a „... dla klientów DHCP, którzy nie żądają aktualizacji ...”

Przykład NT 4.0 nie jest obecnie tak istotny, więc rozważ mieszane środowisko, w którym masz klientów Windows i Mac (lub Linux).

Komputery z systemem Windows obsługują swoje dynamiczne aktualizacje DNS (lub proszą o to DHCP).

Ale klienci Mac / Linux nie. Ta opcja umożliwia DHCP tworzenie rekordów dla tych komputerów, które nie wymagają lub nie mogą żądać dynamicznych aktualizacji DNS.

Kilka rzeczy do rozważenia:

  • Należy utworzyć dedykowane, nieuprzywilejowane konto użytkownika AD dla DHCP do dynamicznych aktualizacji DNS i dodać je do grupy DnsUpdateProxy (jest to szczególnie ważne, jeśli DHCP działa na kontrolerze domeny).
  • DHCP zawsze rejestruje nazwę zgłoszoną przez klienta, nawet jeśli skonfigurujesz rezerwację. Jeśli klient zgłosi nazwę inną niż ta, którą ustawiłeś w rezerwacji, nazwa rezerwacji zostanie zastąpiona.
  • Dynamiczne rekordy DNS ustawione przez DHCP będą miały ustawiony znacznik czasu. Powinieneś poprawnie skonfigurować oczyszczanie DNS, aby usunąć te rekordy, nawet jeśli masz ustawiony DHCP do usuwania rekordów po wygaśnięciu dzierżawy (dobrze jest to włączyć, ale w wielu przypadkach tak się nie dzieje).
briantist
źródło
Myślę, że to przybiłeś. Zazwyczaj ustawiam oczyszczanie w strefie na każde 24 godziny, dzięki czemu strefy są ładne i ciasne.
Obywatel
1
„Włączając opcję Zawsze dynamicznie aktualizuj rekordy DNS A i PTR, każesz DHCP aktualizować oba rekordy, nawet jeśli klient prosi tylko o aktualizację PTR”. ... i czy jest to wada ?
Roger Lipscombe,
@Roger Lipscombe Nie mogę myśleć o żadnym ogólnym minusie, ale nie mogę powiedzieć, czy Twoja sytuacja ma jakiś minus. Doszedłem do wniosku, że wyjaśnienie tego efektu pozwoli ci dokonać takiego określenia w swoim otoczeniu.
briantist
„Jeśli klient zgłosi nazwę inną niż ta, którą ustawiłeś w rezerwacji, nazwa rezerwacji zostanie zastąpiona”. Wszelkie zmiany rezerwacji nazwałbym minusem. Stale tracimy rezerwacje, zastanawiając się, czy specjalny użytkownik robi coś więcej niż tylko zmianę nazwy rezerwacji.
rjt
0

Jeśli chodzi o korzystanie z grupy DnsUpdateProxy, rozumiem, że tylko serwery DHCP powinny należeć do tej grupy, a nie użytkownik dynamicznej aktualizacji DNS. Konto użytkownika powinno zostać dodane do konfiguracji serwera DHCP, a nie do grupy DnsUpdateProxy.

Grupa DnsUpdateProxy jest przeznaczona dla klientów DNS. Użytkownik nie jest klientem, jest to mechanizm używany przez klienta (serwer DHCP) do dokonywania dynamicznych aktualizacji DNS, gdy masz włączone tylko bezpieczne aktualizacje. Klient pozostaje serwerem DHCP.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Gdy serwer DHCP jest na DC, oprócz włączenia członka grupy do grupy i dodania użytkownika do konfiguracji DHCP, należy również wyłączyć OpenACLOnProxyUpdates. Jeśli nie, dodajesz lukę, ponieważ członkostwo w grupie DnsUpdateProxy daje zbyt dużą władzę nad rekordami DNS.

Niektóre szkoły myślenia sugerują, że DHCP na DC nie powinien być członkiem DnsUpdateProxy, a tylko użytkownik aktualizacji DNS powinien być przypisany do DHCP. Może to być prawda w przypadku starszego systemu Windows Server, ale w przypadku wersji 2012R2 i późniejszych, mam wrażenie z dokumentów technicznych, że serwer powinien nadal należeć do grupy DnsUpdateProxy, ale ze względu na to, że jest DC, uprawnienia członkostwa w tej grupie otwierają lukę.

Jeśli więc masz DHCP na DC z włączoną bezpieczną dynamiczną aktualizacją DNS, powinieneś również uruchomić to polecenie na DC, na którym działa DHCP, więc jego DNS nie pozwoli „zagranicznym” aktualizacjom na zmianę rekordów będących własnością DHCP:

dnscmd / config / OpenAclOnProxyUpdates 0

Konkluzja - grupa DnsUpdateProxy nie jest przeznaczona dla żadnego obiektu użytkownika - powinna być używana tylko dla obiektów serwera DHCP (klientów DHCP) i jest przede wszystkim przeznaczona do „najlepszych praktyk” posiadania serwera DHCP na serwerze innym niż DC, aby przekazać niezbędne uprawnienia do dynamicznej aktualizacji DNS. Dodanie użytkownika bezpiecznej aktualizacji do tej grupy jest bezcelowe.

JimS
źródło