Y a-t-il un inconvénient pour toujours mettre à jour DNS de DHCP?
J'ai un contrôleur de domaine Windows 2012 exécutant des serveurs DNS et DHCP. Le paramètre par défaut semble être mise à jour de manière dynamique des enregistrements DNS A et PTR uniquement si demandé par les clients DHCP.
(Ceci est sous Scope Properties -> DNS)
Y a-t-il un inconvénient pour sélectionner Mettez toujours dynamiquement des enregistrements DNS A et PTR?
Quelle est la différence entre cela et mise à jour de manière dynamique des enregistrements DNS A et PTR pour les clients DHCP qui ne demandent pas de mises à jour (par exemple, les clients exécutant Windows NT 4.0)?
Y a-t-il un inconvénient pour sélectionner toujours à jour de manière dynamique des enregistrements DNS A et PTR?
Cela dépend de ce que vous voulez faire.
Par défaut, une machine Windows parlera directement à DNS et mettra à jour son propre enregistrement A _ enregistrement, et il demandera à DHCP de mettre à jour le disque PTR.
En activant toujours à jour de manière dynamique DNS A et PTR enregistrements Vous indiquez à DHCP de mettre à jour les deux enregistrements même si le client ne le demande que de mettre à jour le PTR.
Quelle est la différence entre cela et "... pour les clients DHCP qui ne demandent pas de mises à jour ..."
L'exemple NT 4.0 n'est pas aussi pertinent ces jours-ci, alors envisagez un environnement mixte dans lequel vous avez des clients Windows et Mac (ou Linux).
Les machines Windows gèrent leurs mises à jour DNS dynamiques (ou demandent à DHCP de le faire).
Mais les clients Mac/Linux ne le font pas. Cette option permet à DHCP de créer des enregistrements pour ces machines qui ne peuvent ni demander des mises à jour DNS dynamiques.
Certaines choses à considérer:
- Vous devez créer un compte d'utilisateur dédié et non privilégié pour DHCP à utiliser pour les mises à jour DNS dynamiques et l'ajoutez au groupe DNSUPDateProxy (ceci est particulièrement important si DHCP fonctionne sur un contrôleur de domaine).
- DHCP enregistre toujours le nom rapporté par le client, même si vous créez une réservation. Si le client signale un nom différent de celui que vous avez défini dans la réservation, le nom de la réservation sera écrasé.
- Les enregistrements DNS dynamiques définis via DHCP auront un horodatage défini sur elles. Vous devez correctement configurer DNS SCAVENGING pour supprimer ces enregistrements, même si le DHCP est défini pour supprimer des enregistrements lorsque le bail expire (il est bon d'avoir cela, mais il existe de nombreux cas où cela ne se produit pas).
S'agissant de l'utilisation du groupe DNSUPDATEPROXY, il est comprendre que seuls les serveurs DHCP doivent être membres de ce groupe, et non l'utilisateur dynamique de mise à jour DNS. Le compte d'utilisateur est censé être ajouté à la configuration du serveur DHCP, non au groupe DNSUPDATEPROXY.
Le groupe DnsupDateProxy est destiné aux clients DNS. L'utilisateur n'est pas un client, il s'agit d'un mécanisme utilisé par le client (le serveur DHCP) pour effectuer des mises à jour dynamiques sur DNS lorsque vous avez des mises à jour sécurisées uniquement activées. Le client reste le serveur DHCP.
Lorsque le serveur DHCP est sur un CC, en plus de la création du membre du serveur du groupe et de l'ajout de l'utilisateur à la configuration DHCP, vous devez également définir OpenAcLonProxyUpdates. Si vous n'ajoutez pas une vulnérabilité, car l'adhésion au groupe DnsupDateProxy donne trop d'autorité sur les enregistrements DNS.
Certaines écoles de pensée suggèrent que DHCP sur un DC ne devrait pas être membre de DnsupDateProxy, et doit avoir uniquement l'utilisateur de mise à jour DNS attribué à DHCP. Cela peut être vrai pour l'ancien serveur Windows, mais pour 2012R2 et plus tard, le sens que j'ai du Tech Docs est que le serveur doit encore être dans le groupe DNSUPDATEPROXY, mais en raison d'être un DC, les autorisations de l'adhésion du groupe ouvrent la vulnérabilité.
Donc, si vous avez DHCP sur un DC avec la mise à jour DNS Secure Dynamic DNS activée, vous devez également exécuter cette commande sur le DC _ exécutant DHCP, de sorte que son DNS ne permettra pas " Mises à jour étrangères pour modifier les enregistrements détenus par DHCP:
dNSCMD/CONFIG/OPENACLONPROXYUPDATES 0
Bottom Line - Le groupe DnsupDateProxy n'est pour aucun objet utilisateur - il ne doit être utilisé que pour les objets Server DHCP (clients DHCP) et s'appuie principalement sur les "meilleures pratiques" d'avoir votre serveur DHCP sur un serveur non-DC, à Confiez les autorisations nécessaires pour mettre à jour de manière dynamique DNS. L'ajout de l'utilisateur de mise à jour sécurisé à ce groupe ne sert aucun but.