Есть ли недостаток в постоянном обновлении DNS с DHCP?

13

У меня есть контроллер домена Windows 2012 под управлением DNS и DHCP-серверов. По умолчанию установлено, что динамическое обновление записей DNS A и PTR выполняется только по запросу клиентов DHCP .

(Это под Scope Properties-> DNS)

Есть ли недостаток в выборе Всегда динамически обновлять записи DNS A и PTR ?

В чем разница между этим и динамическим обновлением записей DNS A и PTR для клиентов DHCP, которые не запрашивают обновления (например, клиенты под управлением Windows NT 4.0) ?

Роджер Липскомб
источник

Ответы:

8

Есть ли недостаток в выборе Всегда динамически обновлять записи DNS A и PTR?

Это зависит от того, что вы хотите сделать.

По умолчанию машина Windows будет напрямую обращаться к DNS и обновлять свою собственную Aзапись, а также запрашивать у DHCP обновление PTRзаписи.

Включив Всегда динамически обновлять DNS Aи PTRзаписи, вы говорите DHCP обновить обе записи, даже если клиент только просит их обновить PTR.

Какая разница между этим и "... для клиентов DHCP, которые не запрашивают обновления ..."

Пример NT 4.0 в наши дни не так актуален, поэтому рассмотрим смешанную среду, где у вас есть клиенты Windows и Mac (или Linux).

Машины Windows обрабатывают свои динамические обновления DNS (или они просят DHCP сделать это).

Но клиенты Mac / Linux - нет. Эта опция позволяет DHCP создавать записи для этих машин, которые не запрашивают или не могут запрашивать динамические обновления DNS.

Некоторые вещи для рассмотрения:

  • Вы должны создать выделенную непривилегированную учетную запись пользователя AD для DHCP, чтобы использовать ее для динамических обновлений DNS, и добавить ее в группу DnsUpdateProxy (это особенно важно, если DHCP работает на контроллере домена).
  • DHCP всегда регистрирует имя, указанное клиентом, даже если вы настроили резервирование. Если клиент сообщает имя, отличное от того, которое вы указали в резервировании, имя резервирования будет перезаписано.
  • Для записей динамического DNS, установленных через DHCP, будет установлена ​​временная метка. Вы должны правильно настроить очистку DNS для удаления этих записей, даже если у вас есть DHCP, настроенный на удаление записей по истечении срока аренды (это хорошо, если есть, но во многих случаях этого просто не происходит).
briantist
источник
Я думаю, что ты прибил это. Я обычно устанавливаю очистку зоны каждые 24 часа, она делает зоны красивыми и плотными.
Гражданин
1
«Включив параметр« Всегда динамически обновлять записи DNS A и PTR », вы указываете DHCP обновлять обе записи, даже если клиент запрашивает только обновление PTR». ... и есть ли недостатки в этом?
Роджер Липскомб
@Roger Lipscombe Нет общих недостатков, о которых я могу подумать, но я не могу сказать, есть ли недостатки в вашей ситуации. Я подумал, что объяснение эффекта позволит вам сделать это определение для вашей среды.
бриантист
«Если клиент сообщает имя, отличное от того, которое вы указали в резервировании, имя резервирования будет перезаписано». Я бы назвал любые изменения в бронировании недостатком. Мы все время теряем бронирования, интересуясь, не делает ли специальный пользователь нечто большее, чем просто изменение названия бронирования.
15:33
0

Что касается использования группы DnsUpdateProxy, я понимаю, что в эту группу должны входить только DHCP-серверы, а не пользователь динамического обновления DNS. Предполагается, что учетная запись пользователя будет добавлена ​​в конфигурацию DHCP-сервера, а не в группу DnsUpdateProxy.

Группа DnsUpdateProxy предназначена для клиентов DNS. Пользователь не является клиентом, это механизм, используемый клиентом (DHCP-сервером) для динамического обновления DNS, когда включены только безопасные обновления. Клиент остается сервером DHCP.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Когда DHCP-сервер находится на контроллере домена, помимо того, что он входит в группу и добавляет пользователя в конфигурацию DHCP, вам также необходимо отключить OpenACLOnProxyUpdates. Если вы этого не делаете, вы добавляете уязвимость, потому что членство в группе DnsUpdateProxy дает слишком много полномочий над записями DNS.

Некоторые школы считают, что DHCP на контроллере домена не должен быть членом DnsUpdateProxy, а только для пользователя обновления DNS должен быть назначен DHCP. Это может быть верно для более старых версий Windows Server, но для 2012R2 и более поздних версий у меня есть чувство из технических документов, что сервер все еще должен быть в группе DnsUpdateProxy, но из-за того, что он является DC, разрешения членства в этой группе открывают уязвимость.

Итак, если у вас есть DHCP на контроллере домена с включенным безопасным динамическим обновлением DNS, вы должны также выполнить эту команду на контроллере домена, на котором работает DHCP, чтобы его DNS не позволял «чужим» обновлениям изменять записи, принадлежащие DHCP:

dnscmd / config / OpenAclOnProxyUpdates 0

Итог - группа DnsUpdateProxy не предназначена для какого-либо пользовательского объекта - она ​​должна использоваться только для объектов DHCP-сервера (клиентов DHCP) и в первую очередь предназначена для «наилучшей практики» размещения вашего DHCP-сервера на сервере без DC, чтобы передать необходимые разрешения для динамического обновления DNS. Добавление пользователя защищенного обновления в эту группу не имеет смысла.

JIMS
источник