DNS'yi her zaman DHCP'den güncellemenin bir dezavantajı var mı?

13

DNS ve DHCP sunucuları çalıştıran bir Windows 2012 Etki Alanı Denetleyicim var. Varsayılan ayar, yalnızca DHCP istemcileri tarafından istenirse DNS A ve PTR kayıtlarını dinamik olarak güncelleştirme olarak görünür .

(Bu altında Scope Properties-> DNS)

DNS A ve PTR kayıtlarını her zaman dinamik olarak güncelle seçeneğinin bir dezavantajı var mı ?

Bu ve güncelleştirme istemeyen DHCP istemcileri için DNS A ve PTR kayıtlarını dinamik olarak güncelleştirme (örneğin, Windows NT 4.0 çalıştıran istemciler) arasındaki fark nedir?

domain-name-system  windows-server-2012  dhcp 
Roger Lipscombe
kaynak

Yanıtlar:

8

DNS A ve PTR kayıtlarını her zaman dinamik olarak güncelle seçeneğinin bir dezavantajı var mı?

Bu ne yapmak istediğinize bağlıdır.

Varsayılan olarak, bir Windows makinesi doğrudan DNS ile konuşacak ve kendi Akaydını güncelleyecek ve DHCP'den kaydı güncellemesini isteyecektir PTR.

DNS Ave PTRkayıtları her zaman dinamik olarak güncelle'yi etkinleştirerek , istemciye yalnızca güncelleştirmesini istese bile DHCP'ye her iki kaydı da güncellemesini söylersiniz PTR.

Bu ve "... güncelleme istemeyen DHCP istemcileri için ..." arasındaki fark nedir?

NT 4.0 örneği bugünlerde çok ilgili değil, bu nedenle Windows ve Mac (veya Linux) istemcilerinizin olduğu karma bir ortam düşünün.

Windows makineleri dinamik DNS güncellemelerini işler (ya da DHCP'den bunu ister).

Ancak Mac / Linux istemcileri bunu yapmaz. Bu seçenek, DHCP'nin bu makineler için dinamik DNS güncelleştirmeleri istemeyen veya istemeyen kayıtlar oluşturmasına olanak tanır.

Dikkate alınması gereken bazı noktalar:

  • DHCP'nin dinamik DNS güncellemeleri için kullanması için özel, ayrıcalıksız bir AD kullanıcı hesabı oluşturmalı ve bunu DnsUpdateProxy grubuna eklemelisiniz (DHCP bir etki alanı denetleyicisinde çalışıyorsa bu özellikle önemlidir).
  • Bir rezervasyon ayarlamış olsanız bile DHCP her zaman müşteri tarafından bildirilen adı kaydeder. Müşteri, rezervasyonda belirlediğiniz addan farklı bir ad rapor ederse, rezervasyon adının üzerine yazılır.
  • DHCP aracılığıyla ayarlanan dinamik DNS kayıtlarında üzerlerinde bir zaman damgası bulunur. Kira süresi dolduğunda kayıtları kaldırmak için DHCP ayarlamış olsanız bile, DNS kayıtlarını bu kayıtları silecek şekilde düzgün bir şekilde ayarlamalısınız (bunu yapmak iyidir, ancak bunun gerçekleşmediği birçok durum vardır).
briantist
kaynak
Sanırım başardın. Genellikle bölgeye her 24 saatte bir atma ayarladım, bölgeleri güzel ve sıkı tutar.
Vatandaş
1
"DNS A ve PTR kayıtlarını her zaman dinamik olarak güncelle'yi etkinleştirerek, istemci yalnızca PTR'yi güncellemesini istese bile DHCP'ye her iki kaydı da güncellemesini söylersiniz." ... ve bunu yapmanın bir dezavantajı var mı?
Roger Lipscombe
@Roger Lipscombe Düşünebileceğim genel bir dezavantaj yok, ancak durumunuz için bir dezavantaj olup olmadığını gerçekten söyleyemem. Etkinin açıklanmasının ortamınız için bu kararlılığı yapmanıza izin vereceğini düşündüm.
Briantist
"Müşteri, rezervasyonda belirlediğiniz addan farklı bir ad rapor ederse, rezervasyon adının üzerine yazılır." Bir rezervasyon için herhangi bir değişiklik bir dezavantajı çağırır. Her zaman rezervasyonları kaybediyoruz, özel kullanıcının rezervasyonun adını değiştirmekten daha fazlasını yapıp yapmadığını merak ediyoruz.
rjt
0

DnsUpdateProxy grubunun kullanımı ile ilgili olarak, dinamik DNS güncelleme kullanıcısı değil, yalnızca DHCP Sunucularının bu grubun üyesi olması gerektiği anlaşılıyor. Kullanıcı hesabının DnsUpdateProxy grubuna değil, DHCP sunucusu yapılandırmasına eklenmesi gerekir.

DnsUpdateProxy grubu DNS İstemcileri içindir. Kullanıcı bir istemci değil, istemci (DHCP sunucusu) tarafından yalnızca güvenli güncelleştirmeler açıldığında DNS'de dinamik güncelleştirmeler yapmak için kullanılan bir mekanizmadır. İstemci DHCP sunucusu olarak kalır.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

DHCP sunucusu bir DC'de olduğunda, sunucuyu grubun üyesi yapmanın ve kullanıcıyı DHCP yapılandırmasına eklemenin yanı sıra, OpenACLOnProxyUpdates özelliğini de kapatmanız gerekir. Bir güvenlik açığı eklemiyorsanız, DnsUpdateProxy grubuna üyelik DNS kayıtları üzerinde çok fazla yetki verir.

Bazı düşünce okulları, DC'deki DHCP'nin DnsUpdateProxy'ye üye olmaması ve yalnızca DNS güncelleme kullanıcısının DHCP'ye atanması gerektiğini önermektedir. Bu, eski Windows Server için geçerli olabilir ancak 2012R2 ve sonraki sürümler için, teknik dokümanlardan aldığım duygusu, sunucunun hala DnsUpdateProxy grubunda olması gerektiğidir, ancak DC olması nedeniyle bu grup üyeliğinin izinleri güvenlik açığını açar.

Bu nedenle, güvenli dinamik DNS güncellemesinin etkin olduğu bir DC'de DHCP'niz varsa, DHCP çalıştıran DC'de de bu komutu çalıştırmalısınız, böylece DNS, DHCP'ye ait kayıtları değiştirmek için "yabancı" güncellemelere izin vermez:

dnscmd / config / OpenAclOnProxyUpdates 0

Alt satır - DnsUpdateProxy grubu herhangi bir kullanıcı nesnesi için değil - yalnızca DHCP sunucusu nesneleri (DHCP istemcileri) için kullanılmalıdır ve öncelikle DHCP sunucunuzu DC olmayan bir sunucuda bulundurmanın "en iyi uygulamaları" için tasarlanmıştır. DNS'yi dinamik olarak güncellemek için gerekli izinleri verin. Bu gruba güvenli güncelleme kullanıcısı eklemek bir amaca hizmet etmez.

Jims
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.