¿Hay alguna desventaja en actualizar siempre el DNS desde DHCP?

13

Tengo un controlador de dominio de Windows 2012 que ejecuta servidores DNS y DHCP. La configuración predeterminada parece ser Actualizar dinámicamente los registros DNS A y PTR solo si los clientes DHCP lo solicitan .

(Esto está debajo de Scope Properties-> DNS)

¿Hay un inconveniente en seleccionar Actualizar siempre dinámicamente los registros DNS A y PTR ?

¿Cuál es la diferencia entre eso y actualizar dinámicamente los registros DNS A y PTR para clientes DHCP que no solicitan actualizaciones (por ejemplo, clientes que ejecutan Windows NT 4.0) ?

domain-name-system windows-server-2012 dhcp Roger Lipscombe
fuente

Respuestas:

8

¿Hay un inconveniente en seleccionar Actualizar siempre dinámicamente los registros DNS A y PTR?

Depende de lo que quieras hacer.

Por defecto, una máquina con Windows hablará directamente con DNS y actualizará su propio Aregistro, y le pedirá a DHCP que actualice el PTRregistro.

Al habilitar Siempre actualizar dinámicamente DNS Ay PTRregistros, le está diciendo a DHCP que actualice ambos registros incluso si el cliente solo le pide que actualice el PTR.

¿Cuál es la diferencia entre eso y "... para clientes DHCP que no solicitan actualizaciones ..."

El ejemplo de NT 4.0 no es tan relevante en estos días, así que considere un entorno mixto donde tenga clientes Windows y Mac (o Linux).

Las máquinas con Windows manejan sus actualizaciones de DNS dinámicas (o le piden a DHCP que lo haga).

Pero los clientes Mac / Linux no lo hacen. Esta opción permite que DHCP cree registros para estas máquinas que no solicitan o no pueden solicitar actualizaciones dinámicas de DNS.

Algunas cosas a considerar:

  • Debe crear una cuenta de usuario de AD dedicada y sin privilegios para que DHCP la use para las actualizaciones dinámicas de DNS, y agregarla al grupo DnsUpdateProxy (esto es especialmente importante si DHCP se ejecuta en un controlador de dominio).
  • DHCP siempre registra el nombre informado por el cliente, incluso si configura una reserva. Si el cliente informa un nombre diferente al que estableció en la reserva, se sobrescribirá el nombre de la reserva.
  • Los registros DNS dinámicos establecidos a través de DHCP tendrán una marca de tiempo establecida. Debe configurar correctamente la eliminación de DNS para eliminar estos registros, incluso si tiene DHCP configurado para eliminar registros cuando expire el contrato de arrendamiento (es bueno tenerlo activado, pero hay muchos casos en los que esto simplemente no sucede).
briantista
fuente
Creo que lo has clavado. Normalmente configuro el barrido en la zona por cada 24 horas, mantiene las zonas agradables y ajustadas.
Ciudadano
1
"Al habilitar Siempre actualizar dinámicamente los registros DNS A y PTR, le está diciendo a DHCP que actualice ambos registros incluso si el cliente solo le pide que actualice el PTR". ... y hay un inconveniente en hacer esto?
Roger Lipscombe
@Roger Lipscombe No hay una desventaja genérica en la que pueda pensar, pero realmente no puedo decir si hay una desventaja para su situación. Supuse que explicar el efecto le permitiría tomar esa determinación para su entorno.
briantist
"Si el cliente informa un nombre diferente al que estableció en la reserva, se sobrescribirá el nombre de la reserva". Llamaría a cualquier cambio a una reserva un inconveniente. Perdemos reservas todo el tiempo, preguntándonos si el usuario especial está haciendo más que solo cambiar el nombre de la reserva.
rjt
0

Con respecto al uso del grupo DnsUpdateProxy, tengo entendido que solo los servidores DHCP deben ser miembros de ese grupo, no el usuario dinámico de actualización de DNS. Se supone que la cuenta de usuario debe agregarse a la configuración del servidor DHCP, no al grupo DnsUpdateProxy.

El grupo DnsUpdateProxy es para clientes DNS. El usuario no es un cliente, es un mecanismo utilizado por el cliente (el servidor DHCP) para realizar actualizaciones dinámicas a DNS cuando solo tiene activadas las actualizaciones seguras. El cliente sigue siendo el servidor DHCP.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Cuando el servidor DHCP está en un DC, además de hacer que el servidor sea miembro del grupo y agregar al usuario a la configuración de DHCP, también debe desactivar OpenACLOnProxyUpdates. Si no lo hace, está agregando una vulnerabilidad, porque la membresía en el grupo DnsUpdateProxy otorga demasiada autoridad sobre los registros DNS.

Algunas escuelas de pensamiento sugieren que DHCP en un DC no debe ser miembro de DnsUpdateProxy, y solo debe tener el usuario de actualización de DNS asignado a DHCP. Eso puede ser cierto para Windows Server anterior, pero para 2012R2 y posteriores, la sensación que tengo de los documentos técnicos es que el servidor aún debe estar en el grupo DnsUpdateProxy, pero debido a que es un DC, los permisos de membresía de ese grupo abren la vulnerabilidad.

Por lo tanto, si tiene DHCP en un DC con la actualización de DNS dinámica segura habilitada, también debe ejecutar este comando en el DC que ejecuta DHCP, por lo que su DNS no permitirá que las actualizaciones "foráneas" cambien los registros propiedad de DHCP:

dnscmd / config / OpenAclOnProxyUpdates 0

En pocas palabras, el grupo DnsUpdateProxy no es para ningún objeto de usuario, solo debe usarse para objetos de servidor DHCP (clientes DHCP) y está destinado principalmente a las "mejores prácticas" de tener su servidor DHCP en un servidor que no sea DC impartir los permisos necesarios para actualizar dinámicamente DNS. Agregar el usuario de actualización segura a ese grupo no sirve para nada.

JimS
fuente