क्या हमेशा डीएचसीपी से डीएनएस को अपडेट करने के लिए नकारात्मक पहलू है?

13

मुझे DNS और DHCP सर्वर चलाने वाला एक Windows 2012 डोमेन नियंत्रक मिला है। डिफ़ॉल्ट सेटिंग डायनामिक रूप से DNS ए और पीटीआर रिकॉर्ड को केवल डीएचसीपी ग्राहकों द्वारा अनुरोध किए जाने पर अपडेट करती है

(यह निम्न है Scope Properties-> DNS)

हमेशा DNS ए और पीटीआर रिकॉर्ड को गतिशील रूप से अपडेट करने के लिए एक नकारात्मक पहलू है ?

डीएचसीपी ग्राहकों के लिए DNS ए और पीटीआर रिकॉर्ड को अद्यतन करने का अनुरोध न करने वाले (और उदाहरण के लिए, विंडोज एनटी 4.0 चलाने वाले क्लाइंट) के बीच अंतर क्या है ?

domain-name-system  windows-server-2012  dhcp 
रोजर लिप्सकॉम्ब
स्रोत

जवाबों:

8

हमेशा DNS ए और पीटीआर रिकॉर्ड को गतिशील रूप से अपडेट करने के लिए एक नकारात्मक पहलू है?

यह आप पर निर्भर करता है की आप क्या करना चाहते हो।

डिफ़ॉल्ट रूप से, एक विंडोज़ मशीन सीधे DNS से ​​बात करेगी और अपना Aरिकॉर्ड अपडेट करेगी , और यह डीएचसीपी को PTRरिकॉर्ड अपडेट करने के लिए कहेगी ।

हमेशा डायनामिक रूप से डीएनएस Aऔर PTRरिकॉर्ड को अपडेट करने में सक्षम करके आप डीएचसीपी को दोनों रिकॉर्ड अपडेट करने के लिए कह रहे हैं, भले ही क्लाइंट केवल इसे अपडेट करने के लिए कहे PTR

उस और "डीएचसीपी ग्राहकों के लिए क्या अंतर है जो अपडेट का अनुरोध नहीं करते ..."

NT 4.0 उदाहरण इन दिनों इतना प्रासंगिक नहीं है, इसलिए एक मिश्रित वातावरण पर विचार करें जहां आपके पास विंडोज और मैक (या लिनक्स) क्लाइंट हैं।

विंडोज मशीनें अपने डायनेमिक डीएनएस अपडेट को संभालती हैं (या वे डीएचसीपी को ऐसा करने के लिए कहती हैं)।

लेकिन मैक / लिनक्स क्लाइंट नहीं करते हैं। यह विकल्प डीएचसीपी को इन मशीनों के लिए रिकॉर्ड बनाने की अनुमति देता है जो डायनेमिक डीएनएस अपडेट का अनुरोध नहीं कर सकते हैं या नहीं कर सकते हैं।

विचार करने योग्य कुछ बातें:

  • आपको गतिशील DNS अपडेट के लिए डीएचसीपी के लिए एक समर्पित, गैर-विशेषाधिकार प्राप्त विज्ञापन उपयोगकर्ता खाता बनाना चाहिए और इसे DnsUpdateProxy समूह में जोड़ना चाहिए (यह विशेष रूप से महत्वपूर्ण है यदि डीएचसीपी एक डोमेन नियंत्रक पर चलता है)।
  • डीएचसीपी हमेशा क्लाइंट द्वारा बताए गए नाम को पंजीकृत करता है, भले ही आपने आरक्षण सेट किया हो। यदि ग्राहक आपके द्वारा निर्धारित आरक्षण से भिन्न नाम की रिपोर्ट करता है, तो आरक्षण का नाम अधिलेखित हो जाएगा।
  • डीएचसीपी के माध्यम से सेट किए गए डायनेमिक डीएनएस रिकॉर्ड में एक टाइमस्टैम्प सेट होगा। इन रिकॉर्ड को हटाने के लिए आपको DNS स्कैवेंजिंग को ठीक से सेट करना चाहिए, भले ही आपके पास पट्टे को समाप्त होने पर रिकॉर्ड हटाने के लिए डीएचसीपी सेट हो (यह उस पर होना अच्छा है, लेकिन ऐसे कई मामले हैं जहां ऐसा नहीं होता है)।
briantist
स्रोत
लगता है आपने उसे पकड़ लिया। मैं आमतौर पर हर 24 घंटे के लिए ज़ोन पर मैला ढोने का काम करता हूं, यह ज़ोन को अच्छा और तंग रखता है।
नागरिक
1
"हमेशा DNS ए और पीटीआर रिकॉर्ड को गतिशील रूप से अपडेट करने में सक्षम करके आप डीएचसीपी को दोनों रिकॉर्ड को अपडेट करने के लिए कह रहे हैं, भले ही ग्राहक केवल पीटीआर को अपडेट करने के लिए कहे।" ... और क्या ऐसा करने के लिए एक नकारात्मक पहलू है?
रोजर लिप्सकॉम्ब
@ रेजर लिप्सकॉम्ब कोई सामान्य नकारात्मक पहलू नहीं है जिसके बारे में मैं सोच सकता हूं, लेकिन मैं वास्तव में नहीं कह सकता कि क्या आपकी स्थिति के लिए नकारात्मक पक्ष है। मुझे लगा कि प्रभाव को समझाने से आप अपने पर्यावरण के लिए दृढ़ संकल्प कर सकेंगे।
बेरिंटिस्ट
"यदि ग्राहक आपके द्वारा निर्धारित आरक्षण से भिन्न नाम की रिपोर्ट करता है, तो आरक्षण का नाम अधिलेखित हो जाएगा।" मैं आरक्षण में किसी भी बदलाव को नकारात्मक पक्ष कहूंगा। हम हर समय आरक्षण खो रहे हैं, सोच रहे हैं कि क्या विशेष उपयोगकर्ता केवल आरक्षण का नाम बदलने से अधिक कर रहा है।
आरजेटी
0

DnsUpdateProxy समूह के उपयोग के बारे में, यह मेरी समझ है कि केवल DHCP सर्वर को उस समूह का सदस्य होना चाहिए, न कि गतिशील DNS अद्यतन उपयोगकर्ता। उपयोगकर्ता खाता DHCP सर्वर कॉन्फ़िगरेशन में जोड़ा जाना चाहिए, DnsUpdateProxy समूह के लिए नहीं।

DnsUpdateProxy समूह DNS ग्राहकों के लिए है। उपयोगकर्ता क्लाइंट नहीं है, यह क्लाइंट (डीएचसीपी सर्वर) द्वारा डीएनएस को गतिशील अपडेट करने के लिए उपयोग किया जाने वाला एक तंत्र है जब आपके पास सुरक्षित अपडेट केवल चालू होते हैं। क्लाइंट DHCP सर्वर रहता है।

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

जब डीएचसीपी सर्वर एक डीसी पर होता है, तो समूह के सर्वर को सदस्य बनाने और उपयोगकर्ता को डीएचसीपी कॉन्फ़िगरेशन में जोड़ने के अलावा, आपको ओपनैकलोनप्रोक्सीअपडेट्स को भी सेट करना होगा। यदि आप नहीं करते हैं तो आप एक भेद्यता जोड़ रहे हैं, क्योंकि DnsUpdateProxy समूह में सदस्यता DNS रिकॉर्ड्स पर बहुत अधिक अधिकार देती है।

विचार के कुछ स्कूलों का सुझाव है कि एक डीसी पर डीएचसीपी को DnsUpdateProxy का सदस्य नहीं होना चाहिए, और केवल DNS अपडेट उपयोगकर्ता को डीएचसीपी को सौंपा जाना चाहिए। यह पुराने विंडोज सर्वर के लिए सही हो सकता है लेकिन 2012R2 के लिए और बाद में, मेरे पास तकनीक डॉक्स से जो भावना है वह यह है कि सर्वर अभी भी DnsUpdateProxy समूह में होना चाहिए, लेकिन DC होने के कारण, उस समूह की सदस्यता की अनुमतियाँ भेद्यता को खोल देती हैं।

इसलिए, यदि आपके पास सुरक्षित डायनेमिक डीएनएस अपडेट सक्षम के साथ डीसी पर डीएचसीपी है, तो आपको डीसीपी पर चलने वाले डीसी पर भी यह कमांड चलाना चाहिए, इसलिए इसका डीएनएस डीएचसीपी के स्वामित्व में रिकॉर्ड बदलने के लिए "विदेशी" अपडेट की अनुमति नहीं देगा:

dnscmd / config / OpenAclOnProxyUpdates 0

निचला रेखा - DnsUpdateProxy समूह किसी भी उपयोगकर्ता ऑब्जेक्ट के लिए नहीं है - इसका उपयोग केवल डीएचसीपी सर्वर ऑब्जेक्ट (डीएचसीपी क्लाइंट) के लिए किया जाना चाहिए, और मुख्य रूप से गैर-डीसी सर्वर पर अपने डीएचसीपी सर्वर के "सर्वोत्तम प्रथाओं" के लिए करना है। डीएनएस को गतिशील रूप से अपडेट करने के लिए आवश्यक अनुमति प्रदान करें। उस समूह में सुरक्षित अद्यतन उपयोगकर्ता जोड़ना कोई उद्देश्य नहीं है।

Jims
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.