Apakah ada kelemahan untuk selalu memperbarui DNS dari DHCP?

13

Saya punya Pengontrol Domain Windows 2012 yang menjalankan server DNS dan DHCP. Pengaturan standar tampaknya pembaruan DNS A dan PTR secara dinamis hanya jika diminta oleh klien DHCP .

(Ini di bawah Scope Properties-> DNS)

Apakah ada kerugian untuk memilih Selalu memperbarui catatan DNS A dan PTR secara dinamis ?

Apa perbedaan antara itu dan secara dinamis memperbarui catatan DNS A dan PTR untuk klien DHCP yang tidak meminta pembaruan (misalnya, klien yang menjalankan Windows NT 4.0) ?

domain-name-system windows-server-2012 dhcp Roger Lipscombe
sumber

Jawaban:

8

Apakah ada kerugian untuk memilih Selalu memperbarui catatan DNS A dan PTR secara dinamis?

Itu tergantung pada apa yang ingin Anda lakukan.

Secara default, mesin Windows akan berbicara langsung ke DNS dan memperbarui Acatatannya sendiri , dan akan meminta DHCP untuk memperbarui PTRcatatan.

Dengan mengaktifkan Selalu perbarui DNS Adan PTRcatatan secara dinamis, Anda memberi tahu DHCP untuk memperbarui kedua catatan tersebut meskipun klien hanya memintanya untuk memperbarui PTR.

Apa perbedaan antara itu dan "... untuk klien DHCP yang tidak meminta pembaruan ..."

Contoh NT 4.0 tidak begitu relevan hari ini, jadi pertimbangkan lingkungan campuran di mana Anda memiliki klien Windows dan Mac (atau Linux).

Mesin Windows menangani pembaruan DNS dinamis mereka (atau mereka meminta DHCP untuk melakukannya).

Tetapi klien Mac / Linux tidak. Opsi ini memungkinkan DHCP untuk membuat catatan untuk mesin ini yang tidak atau tidak dapat meminta pembaruan DNS dinamis.

Beberapa hal yang perlu dipertimbangkan:

  • Anda harus membuat akun pengguna AD khusus dan tidak khusus untuk DHCP untuk digunakan untuk pembaruan DNS dinamis, dan menambahkannya ke grup DnsUpdateProxy (ini sangat penting jika DHCP berjalan pada pengontrol domain).
  • DHCP selalu mendaftarkan nama yang dilaporkan oleh klien, bahkan jika Anda mengatur reservasi. Jika klien melaporkan nama yang berbeda dari yang Anda tentukan di reservasi, nama reservasi akan ditimpa.
  • Catatan DNS dinamis yang ditetapkan melalui DHCP akan memiliki timestamp yang ditetapkan pada mereka. Anda harus mengatur DNS scavenging dengan benar untuk menghapus catatan ini, bahkan jika Anda memiliki DHCP yang diatur untuk menghapus catatan ketika masa sewa habis (ada baiknya untuk mengaktifkannya, tetapi ada banyak kasus di mana ini tidak terjadi).
briantis
sumber
Saya pikir Anda berhasil. Saya biasanya mengatur pemulungan di zona untuk setiap 24 jam, itu membuat zona tetap bagus dan ketat.
Warga
1
"Dengan mengaktifkan Selalu perbarui secara dinamis DNS A dan catatan PTR Anda memberi tahu DHCP untuk memperbarui kedua catatan itu meskipun klien hanya memintanya untuk memperbarui PTR." ... dan adakah kerugian untuk melakukan ini?
Roger Lipscombe
@Roger Lipscombe Tidak ada kelemahan generik yang dapat saya pikirkan, tapi saya tidak bisa mengatakan apakah ada kelemahan untuk situasi Anda. Saya pikir menjelaskan efeknya akan memungkinkan Anda membuat tekad untuk lingkungan Anda.
briantist
"Jika klien melaporkan nama yang berbeda dari yang Anda tentukan di reservasi, nama reservasi akan ditimpa." Saya akan menyebut perubahan apa pun pada reservasi sebagai kerugian. Kami kehilangan reservasi sepanjang waktu, bertanya-tanya apakah pengguna khusus melakukan lebih dari sekadar mengubah nama reservasi.
rjt
0

Mengenai penggunaan grup DnsUpdateProxy, saya memahami bahwa hanya Server DHCP yang harus menjadi anggota grup itu, bukan pengguna pembaruan DNS dinamis. Akun pengguna seharusnya ditambahkan ke konfigurasi server DHCP, bukan ke grup DnsUpdateProxy.

Grup DnsUpdateProxy adalah untuk Klien DNS. Pengguna bukan klien, itu adalah mekanisme yang digunakan oleh klien (server DHCP) untuk membuat pembaruan dinamis ke DNS ketika Anda memiliki pembaruan yang aman hanya dihidupkan. Klien tetap menjadi server DHCP.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Ketika server DHCP berada di DC, selain membuat anggota server grup dan menambahkan pengguna ke konfigurasi DHCP, Anda juga perlu menonaktifkan OpenACLOnProxyUpdates. Jika tidak, Anda menambahkan kerentanan, karena keanggotaan dalam grup DnsUpdateProxy memberikan terlalu banyak otoritas atas catatan DNS.

Beberapa aliran pemikiran menyarankan bahwa DHCP pada DC tidak boleh menjadi anggota DnsUpdateProxy, dan hanya harus memiliki pengguna pembaruan DNS yang ditugaskan ke DHCP. Itu mungkin benar untuk Windows Server yang lebih lama tetapi untuk 2012R2 dan yang lebih baru, pengertian yang saya miliki dari dokumen teknologi adalah bahwa server harus tetap dalam grup DnsUpdateProxy, tetapi karena menjadi DC, izin keanggotaan grup membuka kerentanan.

Jadi, jika Anda memiliki DHCP pada DC dengan pembaruan DNS dinamis aman diaktifkan, Anda juga harus menjalankan perintah ini pada DC yang menjalankan DHCP, jadi DNSnya tidak akan mengizinkan pembaruan "asing" untuk mengubah catatan yang dimiliki oleh DHCP:

dnscmd / config / OpenAclOnProxyUpdates 0

Intinya - grup DnsUpdateProxy bukan untuk objek pengguna apa pun - itu hanya boleh digunakan untuk objek server DHCP (klien DHCP), dan terutama ditujukan untuk "praktik terbaik" untuk memiliki server DHCP Anda di server non-DC, untuk berikan izin yang diperlukan untuk memperbarui DNS secara dinamis. Menambahkan pengguna pembaruan aman ke grup itu tidak ada gunanya.

JimS
sumber