Existe alguma desvantagem em sempre atualizar o DNS do DHCP?

Existe uma desvantagem em selecionar Sempre atualizar dinamicamente os registros DNS A e PTR?

Depende do que você quer fazer.

Por padrão, uma máquina Windows falará diretamente com o DNS e atualizará seu próprio registro A , e solicitará ao DHCP que atualize o registro PTR .

Ao ativar sempre dinamicamente atualize o DNS A e PTR registros , você está instruindo o DHCP a atualizar os dois registros, mesmo que o cliente solicite apenas que atualize o PTR .

Qual é a diferença entre isso e "... para clientes DHCP que não solicitam atualizações ..."

O exemplo do NT 4.0 não é tão relevante nos dias de hoje, então considere um ambiente misto onde você tem clientes Windows e Mac (ou Linux).

As máquinas Windows lidam com as atualizações de DNS dinâmicas (ou pedem que o DHCP faça isso).

Mas os clientes Mac / Linux não. Essa opção permite que o DHCP crie registros para essas máquinas que não solicitam ou não podem solicitar atualizações de DNS dinâmicas.

Algumas coisas a considerar:

• Você deve criar uma conta de usuário do AD dedicada e não privilegiada para o DHCP usar para atualizações de DNS dinâmicas e adicioná-la ao grupo DnsUpdateProxy (isso é especialmente importante se o DHCP for executado em um controlador de domínio).
• O DHCP sempre registra o nome relatado pelo cliente, mesmo se você configurar uma reserva. Se o cliente relatar um nome diferente daquele que você definiu na reserva, o nome da reserva será sobrescrito.
• Os registros DNS dinâmicos configurados via DHCP terão um registro de data e hora definido neles. Você deve configurar adequadamente a eliminação de DNS para excluir esses registros, mesmo se você tiver o DHCP configurado para remover registros quando a concessão expirar (é bom ativar isso, mas há muitos casos em que isso simplesmente não acontece).

Com relação ao uso do grupo DnsUpdateProxy, entendo que somente os servidores DHCP devem ser membros desse grupo, não o usuário da atualização dinâmica de DNS. A conta de usuário deve ser adicionada à configuração do servidor DHCP, não ao grupo DnsUpdateProxy.

O grupo DnsUpdateProxy é para clientes DNS. O usuário não é um cliente, é um mecanismo usado pelo cliente (o servidor DHCP) para fazer atualizações dinâmicas no DNS quando as atualizações seguras estão ativadas. O cliente continua sendo o servidor DHCP.

link

Quando o servidor DHCP está em um DC, além de tornar o servidor membro do grupo e adicionar o usuário à configuração do DHCP, você também precisa desativar o OpenACLOnProxyUpdates. Se você não está adicionando uma vulnerabilidade, porque a associação no grupo DnsUpdateProxy dá muita autoridade sobre os registros DNS.

Algumas escolas de pensamento sugerem que o DHCP em um controlador de domínio não deve ser membro do DnsUpdateProxy e deve ter apenas o usuário de atualização do DNS atribuído ao DHCP. Isso pode ser verdade para o Windows Server mais antigo, mas para 2012R2 e posterior, o sentido que tenho dos documentos técnicos é que o servidor ainda deve estar no grupo DnsUpdateProxy, mas por ser DC, as permissões dessa associação de grupo abrem a vulnerabilidade.

Portanto, se você tiver DHCP em um DC com atualização de DNS dinâmico seguro ativada, também deverá executar este comando no DC que está executando o DHCP, para que seu DNS não permita atualizações "externas" para alterar os registros de propriedade do DHCP :

dnscmd / config / OpenAclOnProxyUpdates 0

Linha inferior - o grupo DnsUpdateProxy não é para nenhum objeto de usuário - ele deve ser usado somente para objetos de servidor DHCP (clientes DHCP) e destina-se principalmente às "melhores práticas" de ter seu servidor DHCP em um não-DC servidor, para transmitir as permissões necessárias para atualizar dinamicamente o DNS. Adicionar o usuário da atualização segura a esse grupo não serve para nada.