DNSサーバーとDHCPサーバーを実行しているWindows 2012ドメインコントローラーがあります。デフォルト設定は、DHCPクライアントから要求された場合にのみ、DNS AおよびPTRレコードを動的に更新するように見えます。
(これはScope Properties->の下にありますDNS)
[ 常にDNS AおよびPTRレコードを動的に更新する]を選択することのマイナス面はありますか?
それと、更新を要求しないDHCPクライアント(たとえば、Windows NT 4.0を実行しているクライアント)のDNS AおよびPTRレコードを動的に更新することとの違いは何ですか?
回答:
何をしたいかによって異なります。
デフォルトでは、WindowsマシンはDNSと直接対話して独自のAレコードを更新し、DHCPにPTRレコードの更新を要求します。
DNS AとPTRレコードを常に動的に更新するを有効にすると、クライアントが.NETの更新のみを要求した場合でも、両方のレコードを更新するようにDHCPに指示できますPTR。
NT 4.0の例は最近ではあまり関係ないので、WindowsとMac(またはLinux)クライアントが混在する環境を検討してください。
Windowsマシンは、動的DNS更新を処理します(またはDHCPに要求します)。
しかし、Mac / Linuxクライアントはそうではありません。このオプションにより、DHCPは、動的DNS更新を要求しない、または要求できないこれらのマシンのレコードを作成できます。
DnsUpdateProxyグループの使用に関しては、DHCPサーバーのみがそのグループのメンバーであり、動的DNS更新ユーザーではないことを理解しています。ユーザーアカウントは、DnsUpdateProxyグループではなく、DHCPサーバー構成に追加されることになっています。
DnsUpdateProxyグループは、DNSクライアント用です。ユーザーはクライアントではなく、クライアント(DHCPサーバー)が使用するメカニズムであり、セキュリティで保護された更新のみが有効になっている場合にDNSを動的に更新します。クライアントはDHCPサーバーのままです。
DHCPサーバーがDC上にある場合、グループのサーバーメンバーを作成し、ユーザーをDHCP構成に追加することに加えて、OpenACLOnProxyUpdatesをオフに設定する必要があります。DnsUpdateProxyグループのメンバーシップがDNSレコードに対する権限を与えすぎるため、脆弱性を追加していません。
一部の学派は、DC上のDHCPはDnsUpdateProxyのメンバーではなく、DNS更新ユーザーのみがDHCPに割り当てられるべきだと示唆しています。それは古いWindows Serverには当てはまるかもしれませんが、2012R2以降では、技術文書から私が感じるのは、サーバーがまだDnsUpdateProxyグループにあるべきであるということです。
したがって、セキュリティで保護された動的DNS更新が有効になっているDCにDHCPがある場合、DHCPを実行しているDCでもこのコマンドを実行する必要があります。
dnscmd / config / OpenAclOnProxyUpdates 0
結論-DnsUpdateProxyグループはユーザーオブジェクト用ではありません-DHCPサーバーオブジェクト(DHCPクライアント)のみに使用する必要があり、主に非DCサーバー上にDHCPサーバーを置く「ベストプラクティス」を目的としています。 DNSを動的に更新するために必要な権限を付与します。安全な更新ユーザーをそのグループに追加しても、目的はありません。