Gibt es einen Nachteil, DNS immer über DHCP zu aktualisieren?

13

Ich habe einen Windows 2012-Domänencontroller, auf dem DNS- und DHCP-Server ausgeführt werden. In der Standardeinstellung werden DNS A- und PTR-Einträge nur dynamisch aktualisiert, wenn dies von den DHCP-Clients angefordert wird .

(Dies ist unter Scope Properties-> DNS)

Gibt es einen Nachteil bei der Auswahl von DNS A- und PTR-Einträge immer dynamisch aktualisieren ?

Was ist der Unterschied zwischen diesem und dem dynamischen Aktualisieren von DNS A- und PTR-Einträgen für DHCP-Clients, die keine Aktualisierungen anfordern (z. B. Clients unter Windows NT 4.0) ?

Roger Lipscombe
quelle

Antworten:

8

Gibt es einen Nachteil beim Auswählen von DNS A- und PTR-Einträge immer dynamisch aktualisieren?

Es hängt davon ab, was Sie tun möchten.

Standardmäßig spricht ein Windows-Computer direkt mit DNS und aktualisiert seinen eigenen AEintrag. Außerdem fordert er DHCP auf, den Eintrag zu aktualisieren PTR.

Wenn Sie DNS Aund PTRDatensätze immer dynamisch aktualisieren aktivieren , weisen Sie DHCP an, beide Datensätze zu aktualisieren, auch wenn der Client nur auffordert, die zu aktualisieren PTR.

Was ist der Unterschied zwischen diesem und "... für DHCP-Clients, die keine Updates anfordern ..."

Das NT 4.0-Beispiel ist heutzutage nicht so relevant. Stellen Sie sich daher eine gemischte Umgebung vor, in der Sie Windows- und Mac- (oder Linux-) Clients haben.

Die Windows-Computer verwalten ihre dynamischen DNS-Updates (oder sie fordern DHCP dazu auf).

Die Mac / Linux-Clients tun dies jedoch nicht. Mit dieser Option kann DHCP Einträge für diese Computer erstellen, die keine dynamischen DNS-Aktualisierungen anfordern oder anfordern können.

Einige Dinge zu beachten:

  • Sie sollten ein dediziertes, nicht privilegiertes AD-Benutzerkonto für DHCP erstellen, das für dynamische DNS-Aktualisierungen verwendet werden soll, und es der Gruppe DnsUpdateProxy hinzufügen (dies ist besonders wichtig, wenn DHCP auf einem Domänencontroller ausgeführt wird).
  • DHCP registriert immer den vom Client gemeldeten Namen, auch wenn Sie eine Reservierung eingerichtet haben. Wenn der Kunde einen anderen Namen meldet als den, den Sie in der Reservierung festgelegt haben, wird der Name der Reservierung überschrieben.
  • Dynamische DNS-Einträge, die über DHCP festgelegt wurden, sind mit einem Zeitstempel versehen. Sie sollten das DNS-Scavenging ordnungsgemäß einrichten, um diese Datensätze zu löschen, auch wenn DHCP so eingestellt ist, dass Datensätze nach Ablauf der Lease entfernt werden (es ist gut, wenn dies aktiviert ist, aber in vielen Fällen ist dies einfach nicht der Fall).
Briantist
quelle
Ich denke, du hast es geschafft. Ich stelle normalerweise alle 24 Stunden das Reinigen der Zone ein, damit die Zonen schön dicht bleiben.
Bürger
1
"Wenn Sie DNS A- und PTR-Einträge immer dynamisch aktualisieren aktivieren, weisen Sie DHCP an, beide Einträge zu aktualisieren, auch wenn der Client nur die Aktualisierung des PTR anfordert." ... und hat das einen Nachteil ?
Roger Lipscombe
@ Roger Lipscombe Es gibt keinen generischen Nachteil, den ich mir vorstellen kann, aber ich kann nicht wirklich sagen, ob es einen Nachteil für Ihre Situation gibt. Ich habe mir gedacht, dass Sie diese Bestimmung für Ihre Umgebung treffen können, wenn Sie den Effekt erklären.
Briantist
"Wenn der Client einen anderen Namen als den in der Reservierung festgelegten angibt, wird der Name der Reservierung überschrieben." Ich würde jede Änderung einer Reservierung als Nachteil bezeichnen. Wir verlieren ständig Reservierungen und fragen uns, ob der spezielle Benutzer mehr tut als nur den Namen der Reservierung zu ändern.
rjt
0

In Bezug auf die Verwendung der DnsUpdateProxy-Gruppe sollte meines Erachtens nur der DHCP-Server Mitglied dieser Gruppe sein, nicht der dynamische DNS-Aktualisierungsbenutzer. Das Benutzerkonto soll der DHCP-Serverkonfiguration hinzugefügt werden, nicht der Gruppe DnsUpdateProxy.

Die DnsUpdateProxy-Gruppe ist für DNS-Clients. Der Benutzer ist kein Client, sondern ein Mechanismus, mit dem der Client (der DHCP-Server) dynamische DNS-Aktualisierungen vornimmt, wenn sichere Aktualisierungen nur aktiviert sind. Der Client bleibt der DHCP-Server.

https://docs.microsoft.com/de-de/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Wenn sich der DHCP-Server auf einem Domänencontroller befindet, müssen Sie nicht nur den Server zur Gruppe hinzufügen und den Benutzer zur DHCP-Konfiguration hinzufügen, sondern auch OpenACLOnProxyUpdates deaktivieren. Wenn Sie dies nicht tun, fügen Sie eine Sicherheitsanfälligkeit hinzu, da die Mitgliedschaft in der DnsUpdateProxy-Gruppe zu viel Autorität über die DNS-Einträge verleiht.

Nach einigen Überlegungen sollte DHCP auf einem Domänencontroller nicht Mitglied von DnsUpdateProxy sein und nur den DNS-Aktualisierungsbenutzer DHCP zuweisen. Das mag für ältere Windows Server-Versionen zutreffen, aber für 2012R2 und höher haben die technischen Dokumente den Eindruck, dass sich der Server immer noch in der Gruppe DnsUpdateProxy befinden sollte. Da es sich jedoch um einen Domänencontroller handelt, eröffnen die Berechtigungen dieser Gruppenmitgliedschaft die Sicherheitsanfälligkeit.

Wenn Sie DHCP auf einem Domänencontroller mit aktivierter sicherer dynamischer DNS-Aktualisierung haben, sollten Sie diesen Befehl auch auf dem Domänencontroller ausführen, auf dem DHCP ausgeführt wird, damit "fremde" Aktualisierungen die Einträge von DHCP nicht ändern können:

dnscmd / config / OpenAclOnProxyUpdates 0

Fazit: Die DnsUpdateProxy-Gruppe ist für kein Benutzerobjekt vorgesehen. Sie sollte nur für DHCP-Serverobjekte (DHCP-Clients) verwendet werden und ist in erster Linie für die "Best Practices" gedacht, mit denen Sie Ihren DHCP-Server auf einem Nicht-DC-Server betreiben können Vergeben Sie die erforderlichen Berechtigungen, um DNS dynamisch zu aktualisieren. Das Hinzufügen des Benutzers für sichere Updates zu dieser Gruppe hat keinen Zweck.

JimS
quelle