มีข้อเสียคือการอัปเดต DNS จาก DHCP เสมอหรือไม่

ฉันมี Windows 2012 Domain Controller ที่ใช้เซิร์ฟเวอร์ DNS และ DHCP ตั้งค่าเริ่มต้นดูเหมือนจะปรับปรุงแบบไดนามิก DNS A และ PTR ระเบียนเท่านั้นหากมีการร้องขอโดยลูกค้าของ

(นี่คือภายใต้Scope Properties-> DNS)

มีข้อเสียในการเลือกอัปเดตระเบียน DNS A และ PTR แบบไดนามิกเสมอหรือไม่

อะไรคือความแตกต่างระหว่างที่และการปรับปรุงแบบไดนามิก DNS A และ PTR ระเบียนสำหรับไคลเอ็นต์ DHCP ที่ไม่ขอรับการอัพเดต (ตัวอย่างเช่นลูกค้าที่ใช้ Windows NT 4.0) ?

มีข้อเสียในการเลือกอัปเดตระเบียน DNS A และ PTR แบบไดนามิกเสมอหรือไม่

ขึ้นอยู่กับสิ่งที่คุณต้องการจะทำ

ตามค่าเริ่มต้นเครื่อง Windows จะพูดกับ DNS โดยตรงและอัปเดตAบันทึกของตนเองและจะขอให้ DHCP อัปเดตPTRบันทึก

ด้วยการเปิดใช้งานการอัปเดต DNS AและPTRระเบียนแบบไดนามิกเสมอคุณกำลังบอกให้ DHCP อัปเดตทั้งสองระเบียนแม้ว่าไคลเอ็นต์จะขอให้อัปเดตPTRก็ตาม

อะไรคือความแตกต่างระหว่างสิ่งนั้นกับ "... สำหรับไคลเอนต์ DHCP ที่ไม่ขอการปรับปรุง ... "

ตัวอย่าง NT 4.0 ไม่เกี่ยวข้องกันในวันนี้ดังนั้นให้พิจารณาสภาพแวดล้อมแบบผสมที่คุณมีไคลเอนต์ Windows และ Mac (หรือ Linux)

เครื่อง Windows จัดการกับการอัพเดต DNS แบบไดนามิก (หรือพวกเขาขอให้ DHCP ทำเช่นนั้น)

แต่ไคลเอนต์ Mac / Linux ทำไม่ได้ ตัวเลือกนี้อนุญาตให้ DHCP สร้างระเบียนสำหรับเครื่องเหล่านี้ซึ่งไม่สามารถร้องขอการอัพเดท DNS แบบไดนามิกได้

บางสิ่งที่ควรพิจารณา:

• คุณควรสร้างบัญชีผู้ใช้ AD ที่ไม่ได้รับสิทธิพิเศษสำหรับ DHCP เพื่อใช้สำหรับการปรับปรุง DNS แบบไดนามิกและเพิ่มไปยังกลุ่ม DnsUpdateProxy (นี่เป็นสิ่งสำคัญอย่างยิ่งหาก DHCP ทำงานบนตัวควบคุมโดเมน)
• DHCP จะลงทะเบียนชื่อที่ลูกค้ารายงานเสมอแม้ว่าคุณจะตั้งค่าการจอง หากลูกค้ารายงานชื่อที่แตกต่างจากชื่อที่คุณกำหนดในการจองชื่อของการสำรองจะถูกเขียนทับ
• ระเบียน DNS แบบไดนามิกที่ตั้งค่าผ่าน DHCP จะมีการตั้งค่าเวลาบันทึกไว้ คุณควรตั้งค่า DNS ให้เหมาะสมในการลบระเบียนเหล่านี้แม้ว่าคุณจะมี DHCP ตั้งไว้เพื่อลบระเบียนเมื่อสัญญาเช่าหมดอายุ (มันก็ดีที่จะเปิดใช้งาน แต่มีหลายกรณีที่สิ่งนี้ไม่เกิดขึ้น)

เกี่ยวกับการใช้กลุ่ม DnsUpdateProxy ฉันเข้าใจว่าเฉพาะเซิร์ฟเวอร์ DHCP เท่านั้นที่ควรเป็นสมาชิกของกลุ่มนั้นไม่ใช่ผู้ใช้อัปเดต DNS แบบไดนามิก บัญชีผู้ใช้ควรถูกเพิ่มลงในการกำหนดค่าเซิร์ฟเวอร์ DHCP ไม่ใช่กลุ่ม DnsUpdateProxy

กลุ่ม DnsUpdateProxy สำหรับลูกค้า DNS ผู้ใช้ไม่ใช่ไคลเอนต์มันเป็นกลไกที่ใช้โดยไคลเอนต์ (เซิร์ฟเวอร์ DHCP) เพื่อทำการปรับปรุงแบบไดนามิกกับ DNS เมื่อคุณเปิดใช้งานการปรับปรุงที่ปลอดภัยเท่านั้น ไคลเอ็นต์ยังคงเซิร์ฟเวอร์ DHCP

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

เมื่อเซิร์ฟเวอร์ DHCP อยู่บน DC นอกเหนือจากการทำให้สมาชิกเซิร์ฟเวอร์ของกลุ่มและเพิ่มผู้ใช้ในการกำหนดค่า DHCP คุณต้องตั้งค่า OpenACLOnProxyUpdates ด้วย หากคุณไม่ต้องการเพิ่มช่องโหว่เนื่องจากการเป็นสมาชิกในกลุ่ม DnsUpdateProxy นั้นให้สิทธิ์มากกว่าระเบียน DNS

โรงเรียนแห่งความคิดบางแห่งแนะนำว่า DHCP บน DC ไม่ควรเป็นสมาชิกของ DnsUpdateProxy และควรมีการกำหนดผู้ใช้อัปเดต DNS ให้กับ DHCP เท่านั้น นั่นอาจเป็นจริงสำหรับ Windows Server รุ่นเก่า แต่สำหรับ 2012R2 และต่อมาความรู้สึกที่ฉันมีจากเอกสารทางเทคนิคคือเซิร์ฟเวอร์ควรยังอยู่ในกลุ่ม DnsUpdateProxy แต่เนื่องจากเป็น DC สิทธิ์การเป็นสมาชิกกลุ่มนั้นจึงเปิดช่องโหว่ได้

ดังนั้นหากคุณมี DHCP บน DC ที่เปิดใช้งานการอัพเดต DNS แบบไดนามิกที่ปลอดภัยคุณควรเรียกใช้คำสั่งนี้ใน DC ที่ใช้ DHCP ดังนั้น DNS จะไม่อนุญาตให้อัปเดต "ต่างชาติ" เพื่อเปลี่ยนระเบียนที่เป็นเจ้าของโดย DHCP:

dnscmd / config / OpenAclOnProxyUpdates 0

Bottom line - กลุ่ม DnsUpdateProxy ไม่ได้มีไว้สำหรับวัตถุผู้ใช้ใด ๆ - ควรใช้สำหรับวัตถุเซิร์ฟเวอร์ DHCP (ไคลเอนต์ DHCP) เท่านั้นและมีจุดประสงค์หลักเพื่อ "แนวทางปฏิบัติที่ดีที่สุด" ในการมีเซิร์ฟเวอร์ DHCP ของคุณบนเซิร์ฟเวอร์ที่ไม่ใช่ DC มอบการอนุญาตที่จำเป็นเพื่ออัปเดต DNS แบบไดนามิก การเพิ่มผู้ใช้การอัพเดทที่ปลอดภัยให้กับกลุ่มนั้นไม่มีจุดประสงค์