Ich habe einen Windows 2012-Domänencontroller, auf dem DNS- und DHCP-Server ausgeführt werden. In der Standardeinstellung werden DNS A- und PTR-Einträge nur dynamisch aktualisiert, wenn dies von den DHCP-Clients angefordert wird .
(Dies ist unter Scope Properties
-> DNS
)
Gibt es einen Nachteil bei der Auswahl von DNS A- und PTR-Einträge immer dynamisch aktualisieren ?
Was ist der Unterschied zwischen diesem und dem dynamischen Aktualisieren von DNS A- und PTR-Einträgen für DHCP-Clients, die keine Aktualisierungen anfordern (z. B. Clients unter Windows NT 4.0) ?
quelle
In Bezug auf die Verwendung der DnsUpdateProxy-Gruppe sollte meines Erachtens nur der DHCP-Server Mitglied dieser Gruppe sein, nicht der dynamische DNS-Aktualisierungsbenutzer. Das Benutzerkonto soll der DHCP-Serverkonfiguration hinzugefügt werden, nicht der Gruppe DnsUpdateProxy.
Die DnsUpdateProxy-Gruppe ist für DNS-Clients. Der Benutzer ist kein Client, sondern ein Mechanismus, mit dem der Client (der DHCP-Server) dynamische DNS-Aktualisierungen vornimmt, wenn sichere Aktualisierungen nur aktiviert sind. Der Client bleibt der DHCP-Server.
https://docs.microsoft.com/de-de/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy
Wenn sich der DHCP-Server auf einem Domänencontroller befindet, müssen Sie nicht nur den Server zur Gruppe hinzufügen und den Benutzer zur DHCP-Konfiguration hinzufügen, sondern auch OpenACLOnProxyUpdates deaktivieren. Wenn Sie dies nicht tun, fügen Sie eine Sicherheitsanfälligkeit hinzu, da die Mitgliedschaft in der DnsUpdateProxy-Gruppe zu viel Autorität über die DNS-Einträge verleiht.
Nach einigen Überlegungen sollte DHCP auf einem Domänencontroller nicht Mitglied von DnsUpdateProxy sein und nur den DNS-Aktualisierungsbenutzer DHCP zuweisen. Das mag für ältere Windows Server-Versionen zutreffen, aber für 2012R2 und höher haben die technischen Dokumente den Eindruck, dass sich der Server immer noch in der Gruppe DnsUpdateProxy befinden sollte. Da es sich jedoch um einen Domänencontroller handelt, eröffnen die Berechtigungen dieser Gruppenmitgliedschaft die Sicherheitsanfälligkeit.
Wenn Sie DHCP auf einem Domänencontroller mit aktivierter sicherer dynamischer DNS-Aktualisierung haben, sollten Sie diesen Befehl auch auf dem Domänencontroller ausführen, auf dem DHCP ausgeführt wird, damit "fremde" Aktualisierungen die Einträge von DHCP nicht ändern können:
dnscmd / config / OpenAclOnProxyUpdates 0
Fazit: Die DnsUpdateProxy-Gruppe ist für kein Benutzerobjekt vorgesehen. Sie sollte nur für DHCP-Serverobjekte (DHCP-Clients) verwendet werden und ist in erster Linie für die "Best Practices" gedacht, mit denen Sie Ihren DHCP-Server auf einem Nicht-DC-Server betreiben können Vergeben Sie die erforderlichen Berechtigungen, um DNS dynamisch zu aktualisieren. Das Hinzufügen des Benutzers für sichere Updates zu dieser Gruppe hat keinen Zweck.
quelle