Có một nhược điểm là luôn cập nhật DNS từ DHCP không?

Tôi đã có Bộ kiểm soát miền Windows 2012 chạy các máy chủ DNS và DHCP. Cài đặt mặc định dường như chỉ cập nhật động các bản ghi DNS A và PTR nếu được các máy khách DHCP yêu cầu .

(Đây là dưới Scope Properties-> DNS)

Có một nhược điểm nào khi chọn Luôn cập nhật động các bản ghi DNS A và PTR không?

Có gì khác biệt giữa điều đó và tự động cập nhật bản ghi DNS A và PTR cho các máy khách DHCP không yêu cầu cập nhật (ví dụ: máy khách chạy Windows NT 4.0) ?

Có một nhược điểm nào khi chọn Luôn cập nhật động các bản ghi DNS A và PTR không?

Nó phụ thuộc vào những gì bạn muốn làm.

Theo mặc định, một máy Windows sẽ nói trực tiếp với DNS và cập nhật Abản ghi của chính nó và nó sẽ yêu cầu DHCP cập nhật PTRbản ghi.

Bằng cách bật Luôn cập nhật DNS động Avà PTRcác bản ghi, bạn đang báo cho DHCP cập nhật cả hai bản ghi ngay cả khi máy khách chỉ yêu cầu nó cập nhật PTR.

Sự khác biệt giữa điều đó và "... đối với các máy khách DHCP không yêu cầu cập nhật ..."

Ví dụ NT 4.0 ngày nay không phù hợp lắm, vì vậy hãy xem xét một môi trường hỗn hợp nơi bạn có máy khách Windows và Mac (hoặc Linux).

Các máy Windows xử lý các bản cập nhật DNS động của chúng (hoặc chúng yêu cầu DHCP làm như vậy).

Nhưng các máy khách Mac / Linux thì không. Tùy chọn này cho phép DHCP tạo bản ghi cho các máy này không hoặc không thể yêu cầu cập nhật DNS động.

Một số điều cần xem xét:

• Bạn nên tạo một tài khoản người dùng AD chuyên dụng, không có đặc quyền cho DHCP để sử dụng cho các cập nhật DNS động và thêm nó vào nhóm DnsUpdateProxy (điều này đặc biệt quan trọng nếu DHCP chạy trên bộ điều khiển miền).
• DHCP luôn đăng ký tên được báo cáo bởi khách hàng, ngay cả khi bạn thiết lập đặt chỗ. Nếu khách hàng báo cáo một tên khác với tên bạn đã đặt trong đặt chỗ, tên của đặt phòng sẽ bị ghi đè.
• Các bản ghi DNS động được đặt qua DHCP sẽ có dấu thời gian được đặt trên chúng. Bạn nên thiết lập đúng cách quét DNS để xóa các bản ghi này, ngay cả khi bạn đã cài đặt DHCP để xóa bản ghi khi hết hạn thuê (thật tốt khi có điều đó, nhưng có nhiều trường hợp điều này không xảy ra).

Về việc sử dụng nhóm DnsUpdateProxy, tôi hiểu rằng chỉ Máy chủ DHCP phải là thành viên của nhóm đó, không phải người dùng cập nhật DNS động. Tài khoản người dùng được cho là được thêm vào cấu hình máy chủ DHCP, không phải vào nhóm DnsUpdateProxy.

Nhóm DnsUpdateProxy dành cho Khách hàng DNS. Người dùng không phải là máy khách, nó là một cơ chế được máy khách (máy chủ DHCP) sử dụng để thực hiện cập nhật động cho DNS khi bạn chỉ bật cập nhật bảo mật. Máy khách vẫn là máy chủ DHCP.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Khi máy chủ DHCP ở trên DC, ngoài việc tạo thành viên máy chủ của nhóm và thêm người dùng vào cấu hình DHCP, bạn cũng cần tắt OpenACLOnProxyUpdates. Nếu bạn không thêm lỗ hổng, vì tư cách thành viên trong nhóm DnsUpdateProxy cung cấp quá nhiều quyền đối với các bản ghi DNS.

Một số trường phái cho rằng DHCP trên DC không nên là thành viên của DnsUpdateProxy và chỉ nên có người dùng cập nhật DNS được gán cho DHCP. Điều đó có thể đúng với Windows Server cũ nhưng đối với 2012R2 trở về sau, ý nghĩa của tôi từ các tài liệu công nghệ là máy chủ vẫn phải nằm trong nhóm DnsUpdateProxy, nhưng vì là DC, nên quyền của thành viên nhóm mở ra lỗ hổng.

Vì vậy, nếu bạn có DHCP trên DC có bật cập nhật DNS động an toàn, bạn cũng nên chạy lệnh này trên DC đang chạy DHCP, vì vậy DNS của nó sẽ không cho phép các bản cập nhật "nước ngoài" thay đổi các bản ghi do DHCP sở hữu:

dnscmd / config / OpenAclOnProxyUpdates 0

Điểm mấu chốt - nhóm DnsUpdateProxy không dành cho bất kỳ đối tượng người dùng nào - nó chỉ nên được sử dụng cho các đối tượng máy chủ DHCP (máy khách DHCP) và chủ yếu dành cho "thực tiễn tốt nhất" là có máy chủ DHCP của bạn trên máy chủ không phải DC, để truyền đạt các quyền cần thiết để tự động cập nhật DNS. Thêm người dùng cập nhật an toàn vào nhóm đó không phục vụ mục đích.