Como limitar as atualizações dinâmicas de DNS

Navegue suas respostas
1

Primeiro, desculpe se isso é vago, mas não estou muito familiarizado com a terminologia de DNS ou DNS.

O que estou tentando fazer:

Eu quero limitar quais nomes de host podem atualizar dinamicamente o DNS. Não quero acabar com um usuário mal-intencionado enviando uma atualização de DNS dinâmico com o mesmo nome de host de um controlador de domínio ou servidor radius ou algo assim.

Veja por que isso é um problema:

Nós executamos uma loja de ambientes mistos e temos muitos dispositivos que não estão vinculados ao AD, por isso não posso limitar as atualizações de DNS para proteger somente.

Alguém por favor pode me dizer como consertar isso e como é chamado? O DNS está sendo executado nos controladores de domínio do Windows Server 2008 R2.

    
por Avery Abbott 18.11.2014 / 20:34

2 respostas

1

As entradas DNS do Windows têm ACLs. Verifique e / ou ajuste-os.

Emgeral,osnomesdehost/registrosatualizadosdinamicamentepermitemquequalquerumosatualize,masosestáticosnão,masdequalquerforma,essecomportamentoéconfigurável.

AocriarumanovaentradaArecord/hostname,vocêtemaopçãodepermitirquequalquerusuárioautenticadomodifiqueoregistroounão:

E parece que "não" é o que você prefere. Por sorte, esse é o padrão.

Na verdade, as configurações padrão funcionam muito bem, pois não permitem que qualquer pessoa envenene os registros DNS ou controlem o registro A do controlador de domínio na tabela DNS simplesmente renomeando a máquina e executando um DNS dinâmico. atualizar. Então, a menos que seu ambiente DNS esteja explicitamente configurado de uma maneira particularmente pobre e muito específica, você e seu chefe não precisam se preocupar com nada.

Mas não tome minha palavra ... verifique as ACLs por conta própria e tente seqüestrar registros DNS de um controlador de domínio (ou de qualquer outra pessoa) com um cliente não autenticado.

    
por 19.11.2014 / 06:13
0

Resolving Name Conflicts

If during dynamic update registration a client determines that its name is already registered in DNS with an IP address that belongs to another computer, by default the client attempts to replace the registration of the other computer's IP address with the new IP address. This means that for zones that are not configured for secure dynamic update, any user on the network can modify the IP address registration of any client computer. For zones that are configured for secure dynamic update, however, only authorized users are able to modify the resource record.

You can change the default setting so that instead of replacing the IP address, the client backs out of the registration process and logs the error in Event Viewer. To do so, add the DisableReplaceAddressesInConflicts entry with a value of 1 (DWORD) to the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Tcpip\Parameters

The entry can be 1 or 0, which specify one of the following:

1 . If the name that the client is trying to create already exists, the client does not try to overwrite it.

0 . If the name that the client is trying to create already exists, the client tries to overwrite it. This is the default value.

(Technet)

    
por 18.11.2014 / 20:52

Tags

A proteção de senha do administrador do WordPress não funciona no servidor Nginx O postfix não ativa meu script milter antes da fila