C'è un aspetto negativo nell'aggiornamento sempre del DNS dal DHCP?

13

Ho un controller di dominio di Windows 2012 con server DNS e DHCP. L'impostazione predefinita sembra essere Aggiorna dinamicamente i record DNS A e PTR solo se richiesto dai client DHCP .

(Questo è sotto Scope Properties-> DNS)

C'è un aspetto negativo nella selezione di aggiornare sempre in modo dinamico i record DNS A e PTR ?

Qual è la differenza tra questo e aggiornare dinamicamente i record DNS A e PTR per i client DHCP che non richiedono aggiornamenti (ad esempio i client che eseguono Windows NT 4.0) ?

domain-name-system  windows-server-2012  dhcp 
Roger Lipscombe
fonte

Risposte:

8

C'è un aspetto negativo nella selezione di aggiornare sempre in modo dinamico i record DNS A e PTR?

Dipende da cosa vuoi fare.

Per impostazione predefinita, un computer Windows parlerà direttamente al DNS e aggiornerà il proprio Arecord e chiederà a DHCP di aggiornare il PTRrecord.

Abilitando Aggiorna sempre in modo dinamico DNS Ae PTRrecord, stai dicendo a DHCP di aggiornare entrambi i record anche se il client chiede solo di aggiornare il PTR.

Qual è la differenza tra questo e "... per i client DHCP che non richiedono aggiornamenti ..."

L'esempio di NT 4.0 non è così rilevante in questi giorni, quindi considera un ambiente misto in cui hai client Windows e Mac (o Linux).

I computer Windows gestiscono i loro aggiornamenti DNS dinamici (o chiedono a DHCP di farlo).

Ma i client Mac / Linux no. Questa opzione consente a DHCP di creare record per questi computer che non richiedono o non possono richiedere aggiornamenti DNS dinamici.

Alcune cose da considerare:

  • È necessario creare un account utente AD dedicato e senza privilegi per DHCP da utilizzare per gli aggiornamenti DNS dinamici e aggiungerlo al gruppo DnsUpdateProxy (ciò è particolarmente importante se DHCP viene eseguito su un controller di dominio).
  • DHCP registra sempre il nome segnalato dal client, anche se si imposta una prenotazione. Se il cliente riporta un nome diverso da quello impostato nella prenotazione, il nome della prenotazione verrà sovrascritto.
  • I record DNS dinamici impostati tramite DHCP avranno un timestamp impostato su di essi. Dovresti impostare correttamente lo scavenging DNS per eliminare questi record, anche se hai DHCP impostato per rimuovere i record alla scadenza del contratto di locazione (è bene averlo attivo, ma ci sono molti casi in cui ciò non accade).
briantist
fonte
Penso che tu abbia centrato il punto. In genere imposto lo scavenging sulla zona per ogni 24 ore, mantiene le zone belle e strette.
Cittadino,
1
"Abilitando Aggiorna sempre dinamicamente i record DNS A e PTR stai dicendo a DHCP di aggiornare entrambi i record anche se il client chiede solo di aggiornare il PTR." ... e c'è un lato negativo a fare questo?
Roger Lipscombe,
@Roger Lipscombe Non esiste un aspetto negativo generico a cui possa pensare, ma non posso davvero dire se c'è un aspetto negativo per la tua situazione. Ho pensato che spiegare l'effetto ti avrebbe permesso di fare quella determinazione per il tuo ambiente.
Briantist
"Se il client riporta un nome diverso da quello impostato nella prenotazione, il nome della prenotazione verrà sovrascritto." Vorrei chiamare eventuali modifiche a una prenotazione un aspetto negativo. Stiamo perdendo continuamente le prenotazioni, chiedendoci se l'utente speciale stia facendo molto di più che cambiare semplicemente il nome della prenotazione.
rjt
0

Per quanto riguarda l'uso del gruppo DnsUpdateProxy, è mia comprensione che solo i server DHCP dovrebbero essere membri di quel gruppo, non l'utente di aggiornamento DNS dinamico. L'account utente dovrebbe essere aggiunto alla configurazione del server DHCP, non al gruppo DnsUpdateProxy.

Il gruppo DnsUpdateProxy è per i client DNS. L'utente non è un client, è un meccanismo utilizzato dal client (il server DHCP) per effettuare aggiornamenti dinamici su DNS quando sono attivi solo aggiornamenti sicuri. Il client rimane il server DHCP.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Quando il server DHCP si trova su un controller di dominio, oltre a rendere membro del server del gruppo e aggiungere l'utente alla configurazione DHCP, è necessario anche disattivare OpenACLOnProxyUpdates. In caso contrario, si sta aggiungendo una vulnerabilità, poiché l'appartenenza al gruppo DnsUpdateProxy fornisce troppa autorità sui record DNS.

Alcune scuole di pensiero suggeriscono che DHCP su un controller di dominio non deve essere membro di DnsUpdateProxy e che solo l'utente di aggiornamento DNS deve essere assegnato a DHCP. Questo può essere vero per Windows Server precedente ma per 2012R2 e versioni successive, il senso che ho dai documenti tecnici è che il server dovrebbe essere ancora nel gruppo DnsUpdateProxy, ma a causa del fatto che è un controller di dominio, le autorizzazioni dell'appartenenza al gruppo aprono la vulnerabilità.

Quindi, se hai un DHCP su un controller di dominio con l'aggiornamento DNS dinamico sicuro abilitato, dovresti anche eseguire questo comando sul controller di dominio che esegue DHCP, quindi il suo DNS non consentirà agli aggiornamenti "esterni" di modificare i record di proprietà del DHCP:

dnscmd / config / OpenAclOnProxyUpdates 0

In conclusione - il gruppo DnsUpdateProxy non è per nessun oggetto utente - dovrebbe essere utilizzato solo per oggetti server DHCP (client DHCP) ed è principalmente destinato alle "migliori pratiche" di avere il server DHCP su un server non DC, per impartire le autorizzazioni necessarie per aggiornare dinamicamente il DNS. L'aggiunta dell'utente di aggiornamento sicuro a quel gruppo non serve a nulla.

Jims
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.