У меня есть контроллер домена Windows 2012 под управлением DNS и DHCP-серверов. По умолчанию установлено, что динамическое обновление записей DNS A и PTR выполняется только по запросу клиентов DHCP .
(Это под Scope Properties
-> DNS
)
Есть ли недостаток в выборе Всегда динамически обновлять записи DNS A и PTR ?
В чем разница между этим и динамическим обновлением записей DNS A и PTR для клиентов DHCP, которые не запрашивают обновления (например, клиенты под управлением Windows NT 4.0) ?
источник
Что касается использования группы DnsUpdateProxy, я понимаю, что в эту группу должны входить только DHCP-серверы, а не пользователь динамического обновления DNS. Предполагается, что учетная запись пользователя будет добавлена в конфигурацию DHCP-сервера, а не в группу DnsUpdateProxy.
Группа DnsUpdateProxy предназначена для клиентов DNS. Пользователь не является клиентом, это механизм, используемый клиентом (DHCP-сервером) для динамического обновления DNS, когда включены только безопасные обновления. Клиент остается сервером DHCP.
https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy
Когда DHCP-сервер находится на контроллере домена, помимо того, что он входит в группу и добавляет пользователя в конфигурацию DHCP, вам также необходимо отключить OpenACLOnProxyUpdates. Если вы этого не делаете, вы добавляете уязвимость, потому что членство в группе DnsUpdateProxy дает слишком много полномочий над записями DNS.
Некоторые школы считают, что DHCP на контроллере домена не должен быть членом DnsUpdateProxy, а только для пользователя обновления DNS должен быть назначен DHCP. Это может быть верно для более старых версий Windows Server, но для 2012R2 и более поздних версий у меня есть чувство из технических документов, что сервер все еще должен быть в группе DnsUpdateProxy, но из-за того, что он является DC, разрешения членства в этой группе открывают уязвимость.
Итак, если у вас есть DHCP на контроллере домена с включенным безопасным динамическим обновлением DNS, вы должны также выполнить эту команду на контроллере домена, на котором работает DHCP, чтобы его DNS не позволял «чужим» обновлениям изменять записи, принадлежащие DHCP:
dnscmd / config / OpenAclOnProxyUpdates 0
Итог - группа DnsUpdateProxy не предназначена для какого-либо пользовательского объекта - она должна использоваться только для объектов DHCP-сервера (клиентов DHCP) и в первую очередь предназначена для «наилучшей практики» размещения вашего DHCP-сервера на сервере без DC, чтобы передать необходимые разрешения для динамического обновления DNS. Добавление пользователя защищенного обновления в эту группу не имеет смысла.
источник