Existe alguma desvantagem em sempre atualizar o DNS do DHCP?

13

Eu tenho um controlador de domínio do Windows 2012 executando servidores DNS e DHCP. A configuração padrão parece ser atualizar dinamicamente os registros DNS A e PTR somente se solicitado pelos clientes DHCP .

(está em Scope Properties - > DNS )

Existe uma desvantagem em selecionar Sempre atualizar dinamicamente os registros DNS A e PTR ?

Qual é a diferença entre isso e Atualizar dinamicamente os registros DNS A e PTR para clientes DHCP que não solicitam atualizações (por exemplo, clientes que executam o Windows NT 4.0) ?

    
por Roger Lipscombe 09.10.2014 / 11:39

2 respostas

8

Existe uma desvantagem em selecionar Sempre atualizar dinamicamente os registros DNS A e PTR?

Depende do que você quer fazer.

Por padrão, uma máquina Windows falará diretamente com o DNS e atualizará seu próprio registro A , e solicitará ao DHCP que atualize o registro PTR .

Ao ativar sempre dinamicamente atualize o DNS A e PTR registros , você está instruindo o DHCP a atualizar os dois registros, mesmo que o cliente solicite apenas que atualize o PTR .

Qual é a diferença entre isso e "... para clientes DHCP que não solicitam atualizações ..."

O exemplo do NT 4.0 não é tão relevante nos dias de hoje, então considere um ambiente misto onde você tem clientes Windows e Mac (ou Linux).

As máquinas Windows lidam com as atualizações de DNS dinâmicas (ou pedem que o DHCP faça isso).

Mas os clientes Mac / Linux não. Essa opção permite que o DHCP crie registros para essas máquinas que não solicitam ou não podem solicitar atualizações de DNS dinâmicas.

Algumas coisas a considerar:

  • Você deve criar uma conta de usuário do AD dedicada e não privilegiada para o DHCP usar para atualizações de DNS dinâmicas e adicioná-la ao grupo DnsUpdateProxy (isso é especialmente importante se o DHCP for executado em um controlador de domínio).
  • O DHCP sempre registra o nome relatado pelo cliente, mesmo se você configurar uma reserva. Se o cliente relatar um nome diferente daquele que você definiu na reserva, o nome da reserva será sobrescrito.
  • Os registros DNS dinâmicos configurados via DHCP terão um registro de data e hora definido neles. Você deve configurar adequadamente a eliminação de DNS para excluir esses registros, mesmo se você tiver o DHCP configurado para remover registros quando a concessão expirar (é bom ativar isso, mas há muitos casos em que isso simplesmente não acontece).
por 11.10.2014 / 09:50
0

Com relação ao uso do grupo DnsUpdateProxy, entendo que somente os servidores DHCP devem ser membros desse grupo, não o usuário da atualização dinâmica de DNS. A conta de usuário deve ser adicionada à configuração do servidor DHCP, não ao grupo DnsUpdateProxy.

O grupo DnsUpdateProxy é para clientes DNS. O usuário não é um cliente, é um mecanismo usado pelo cliente (o servidor DHCP) para fazer atualizações dinâmicas no DNS quando as atualizações seguras estão ativadas. O cliente continua sendo o servidor DHCP.

link

Quando o servidor DHCP está em um DC, além de tornar o servidor membro do grupo e adicionar o usuário à configuração do DHCP, você também precisa desativar o OpenACLOnProxyUpdates. Se você não está adicionando uma vulnerabilidade, porque a associação no grupo DnsUpdateProxy dá muita autoridade sobre os registros DNS.

Algumas escolas de pensamento sugerem que o DHCP em um controlador de domínio não deve ser membro do DnsUpdateProxy e deve ter apenas o usuário de atualização do DNS atribuído ao DHCP. Isso pode ser verdade para o Windows Server mais antigo, mas para 2012R2 e posterior, o sentido que tenho dos documentos técnicos é que o servidor ainda deve estar no grupo DnsUpdateProxy, mas por ser DC, as permissões dessa associação de grupo abrem a vulnerabilidade.

Portanto, se você tiver DHCP em um DC com atualização de DNS dinâmico seguro ativada, também deverá executar este comando no DC que está executando o DHCP, para que seu DNS não permita atualizações "externas" para alterar os registros de propriedade do DHCP :

dnscmd / config / OpenAclOnProxyUpdates 0

Linha inferior - o grupo DnsUpdateProxy não é para nenhum objeto de usuário - ele deve ser usado somente para objetos de servidor DHCP (clientes DHCP) e destina-se principalmente às "melhores práticas" de ter seu servidor DHCP em um não-DC servidor, para transmitir as permissões necessárias para atualizar dinamicamente o DNS. Adicionar o usuário da atualização segura a esse grupo não serve para nada.

    
por 26.06.2018 / 18:56