Desde o ano 2000, é provável que o domínio de pesquisa direta da própria árvore do AD seja uma zona Integrada. Adicionar isso a um novo servidor é tão fácil quanto DCPromover um novo controlador de domínio, adicionar o serviço DNS e fazer com que ele aconteça. Depois vem a diversão de atualizar as configurações de DNS de todos (DHCP!).
Em termos de segurança, existem algumas áreas:
- Restringir Transferências de Zona . Você deseja restringir as Transferências de Zona apenas para as máquinas que precisam dele. E se você usar apenas servidores AD-Integrated para servir DNS, não será necessário . Temos servidores BIND que usamos como secundários para nosso DNS de domínio do AD, portanto, eles estão na nossa lista de transferência de zona. Você pode não ter nenhum.
- Restringir DNS dinâmico . Fora da caixa, o AD permite (ou fez em 2000) atualizações de DNS dinâmicas não autenticadas. Esta é a opção mais compatível, mas representa uma grande falha de segurança. Turing isso para "apenas atualizações seguras" é altamente recomendado.
- Verifique as permissões de atualização de DNS . Verifique a guia "Segurança" das suas zonas e verifique se as permissões estão definidas corretamente. Quem sabe se o que foi definido há 8 anos ainda é válido.