Existe uma desvantagem em atualizar sempre o DNS do DHCP?

13

Eu tenho um controlador de domínio do Windows 2012 executando servidores DNS e DHCP. A configuração padrão parece ser Atualizar dinamicamente os registros DNS A e PTR somente se solicitado pelos clientes DHCP .

(Isso está em Scope Properties-> DNS)

Existe uma desvantagem em selecionar Sempre atualizar dinamicamente os registros DNS A e PTR ?

Qual é a diferença entre isso e atualizar dinamicamente os registros DNS A e PTR para clientes DHCP que não solicitam atualizações (por exemplo, clientes executando o Windows NT 4.0) ?

domain-name-system windows-server-2012 dhcp Roger Lipscombe
fonte

Respostas:

8

Existe uma desvantagem em selecionar Sempre atualizar dinamicamente os registros DNS A e PTR?

Depende do que você quer fazer.

Por padrão, uma máquina Windows fala diretamente com o DNS e atualiza seu próprio Aregistro, e solicita que o DHCP atualize o PTRregistro.

Ao ativar Sempre atualizar dinamicamente o DNS Ae os PTRregistros, você está dizendo ao DHCP para atualizar os dois registros, mesmo que o cliente apenas solicite a atualização PTR.

Qual é a diferença entre isso e "... para clientes DHCP que não solicitam atualizações ..."

O exemplo do NT 4.0 não é tão relevante hoje em dia, portanto, considere um ambiente misto em que você tenha clientes Windows e Mac (ou Linux).

As máquinas Windows manipulam suas atualizações dinâmicas de DNS (ou solicitam que o DHCP faça isso).

Mas os clientes Mac / Linux não. Esta opção permite que o DHCP crie registros para essas máquinas que não solicitam ou não podem solicitar atualizações dinâmicas de DNS.

Algumas coisas a considerar:

  • Você deve criar uma conta de usuário do AD não privilegiada e dedicada para o DHCP usar nas atualizações dinâmicas do DNS e adicioná-la ao grupo DnsUpdateProxy (isso é especialmente importante se o DHCP for executado em um controlador de domínio).
  • O DHCP sempre registra o nome relatado pelo cliente, mesmo se você configurar uma reserva. Se o cliente relatar um nome diferente daquele que você definiu na reserva, o nome da reserva será substituído.
  • Os registros DNS dinâmicos definidos via DHCP terão um carimbo de data / hora definido neles. Você deve configurar corretamente a eliminação de DNS para excluir esses registros, mesmo se o DHCP estiver configurado para remover registros quando a concessão expirar (é bom incluir isso, mas há muitos casos em que isso simplesmente não acontece).
briantist
fonte
Eu acho que você acertou em cheio. Normalmente, defino a limpeza na zona a cada 24 horas, mantém as zonas agradáveis ​​e compactas.
Citizen
1
"Ao ativar Sempre atualizar dinamicamente os registros DNS A e PTR, você está dizendo ao DHCP para atualizar os dois registros, mesmo que o cliente solicite apenas a atualização do PTR." ... e há uma desvantagem em fazer isso?
21415 Roger
@ Roger Lipscombe Não há nenhuma desvantagem genérica em que eu possa pensar, mas não posso realmente dizer se há uma desvantagem para sua situação. Imaginei que explicar o efeito permitiria que você fizesse essa determinação para o seu ambiente.
Briantist
"Se o cliente relatar um nome diferente daquele que você definiu na reserva, o nome da reserva será substituído." Eu chamaria quaisquer alterações a uma reserva de um lado negativo. Estamos perdendo reservas o tempo todo, imaginando se o usuário especial está fazendo mais do que apenas alterar o nome da reserva.
RJT
0

Em relação ao uso do grupo DnsUpdateProxy, eu entendo que apenas os servidores DHCP devem ser membros desse grupo, não o usuário de atualização dinâmica do DNS. A conta do usuário deve ser adicionada à configuração do servidor DHCP, não ao grupo DnsUpdateProxy.

O grupo DnsUpdateProxy é para clientes DNS. O usuário não é um cliente, é um mecanismo usado pelo cliente (o servidor DHCP) para fazer atualizações dinâmicas no DNS quando você tiver atualizações seguras ativadas apenas. O cliente continua sendo o servidor DHCP.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Quando o servidor DHCP está em um controlador de domínio, além de tornar o servidor membro do grupo e adicionar o usuário à configuração DHCP, você também precisa desativar o OpenACLOnProxyUpdates. Caso contrário, você está adicionando uma vulnerabilidade, porque a associação ao grupo DnsUpdateProxy fornece muita autoridade sobre os registros DNS.

Algumas escolas de pensamento sugerem que o DHCP em um controlador de domínio não deve ser membro do DnsUpdateProxy e deve ter apenas o usuário de atualização de DNS atribuído ao DHCP. Isso pode ser verdade para o Windows Server antigo, mas para 2012R2 e posterior, a sensação que tenho dos documentos técnicos é que o servidor ainda deve estar no grupo DnsUpdateProxy, mas por ser um controlador de domínio, as permissões dessa associação de grupo abrem a vulnerabilidade.

Portanto, se você tiver o DHCP em um controlador de domínio com a atualização dinâmica segura do DNS ativada, também deverá executar este comando no controlador de domínio que está executando o DHCP, para que o DNS não permita que atualizações "externas" alterem os registros pertencentes ao DHCP:

dnscmd / config / OpenAclOnProxyUpdates 0

Conclusão - o grupo DnsUpdateProxy não é para nenhum objeto de usuário - ele deve ser usado apenas para objetos de servidor DHCP (clientes DHCP) e destina-se principalmente às "práticas recomendadas" de ter seu servidor DHCP em um servidor não DC, para conceda as permissões necessárias para atualizar dinamicamente o DNS. Adicionar o usuário de atualização segura a esse grupo não serve para nada.

JimS
fonte