none
DNS DHCP sichere dynamische Updates RRS feed

  • Allgemeine Diskussion

  • Hallo,

    aktuell betreiben wir unsere AD integrierte DNS-Zone im Modus unsichere Updates zulassen. Weiterhin ist der DHCP so konfiguriert, dass er immer die dynamischen Updates in der Zone vornimmt. Dies hat zur Folge, dass die Objekte in der unsicheren DNS-Zone nicht geschützt sind und der DNS-Eintrag eines Servers einfach vom DHCP überschrieben wird, wenn ein neuer Host mit gleichem Hostnamen im Netzwerk vorhanden ist.

    Daher ist das Ziel die DNS-Zone sicher vor Manipulationen zu machen. Aus meiner Sicht ist der erste wesentliche Schritt, dass die Zone auf "nur sichere Updates" umgestellt wird. Dies hilft allerdings noch nicht weiter, da im jetzigen Zustand der DHCP zwar der Besitzer der DNS-Objekte wird, aber immernoch alle Einträge ändern kann. D. h. die Server Objekte könnten weiterhin überschrieben werden.

    Jetzt gibt es aus meiner Sicht zwei Wege:

    1. AD-Mitglieder tragen sich selber im DNS ein und werden ihr eigener Owner --> Der DHCP kann diese Einträge nicht mehr manipulieren

    2. Im DHCP wird die Option Namensschutz aktiviert --> DHCCID Records schützen bestehende Objekte davor manipuliert zu werden.


    Damit im 1. Fall die AD-Mitglieder selbständig die Einträge vornehmen, muss im DHCP eingestellt werden, dass dieser nur nach Aufforderung Einträge im DNS macht. Leider tun nicht-AD Windows Clients dies nicht, wodurch für diese keine Einträge im DNS vorgenommen werden.

    Leider werden auch im 2. Fall keine Einträge für nicht-AD Windows Clients erzeugt.

    Ist dieses Verhalten normal bzw. kann es geändert werden? In folgendem Forum sind meine Testergebnisse auch nochmal dokumentiert: http://www.mcseboard.de/topic/199043-dns-absichern/

    Vielen Dank!


    Montag, 4. August 2014 13:19

Alle Antworten

  • Hi Stephan,

    aus meiner Sicht (korrigiert mich, wenn ich falsch liege), ist das ein beabsichtigtes Verhalten. Für Nicht-AD-Clients musst Du im Standard manuell Einträge anlegen.

    Wenn Du willst, dass Nicht-AD-Clients Einträge anlegen und ändern können, müsstest Du die Einstellung für "Dynamische Updates" auf "Nicht sichere und sichere" ändern, das ist aber ein Sicherheitsrisiko. 

    Normal hat man aber nicht so viele Nicht-AD-Clients, dass das manuelle Anlegen zu viel Aufwand wäre. Kann aber natürlich bei Euch anders sein :-)

    Gruß

    Ben

    Dienstag, 5. August 2014 06:48
  • Hi Stephan,

    aus meiner Sicht (korrigiert mich, wenn ich falsch liege), ist das ein beabsichtigtes Verhalten. Für Nicht-AD-Clients musst Du im Standard manuell Einträge anlegen.

    Wenn Du willst, dass Nicht-AD-Clients Einträge anlegen und ändern können, müsstest Du die Einstellung für "Dynamische Updates" auf "Nicht sichere und sichere" ändern, das ist aber ein Sicherheitsrisiko. 

    Normal hat man aber nicht so viele Nicht-AD-Clients, dass das manuelle Anlegen zu viel Aufwand wäre. Kann aber natürlich bei Euch anders sein :-)

    Gruß

    Ben

    Hallo Ben,

    für die nicht AD-Clients wäre es aus meiner Sicht in Ordnung, wenn der DHCP-Server die dynamischen Updates durchführt. Dafür wurde im DHCP auch extra ein AD-Konto hinterlegt.

    Aktuell sieht die DNS Konfiguration so aus.

    http://picload.org/image/lwcgiaw/aktiv.jpg

    In diesem Fall würde der DHCP Server für alle anfragenden Clients den DNS Eintrag setzen. Das ist nicht gut, weil dann eventuell Einträge überschrieben werden können.

    Ändere ich die Einstellungen auf folgende Werte, habe ich das Problem, dass nicht Windows Clients nicht im DNS eingetragen werden.

    http://picload.org/image/lwcgioi/inaktiv.jpg

    Für z. B. Linux Clients übernimmt der DHCP die Eintragung. Nur eben nicht für nicht-AD Windows Clients und genau das verhindert mein Vorhaben. Gewünscht wäre folgendes Verhalten:

    • AD-Windows-Client: nimmt Eintrag im DNS selber vor (funktioniert)
    • nicht-AD-Windows Client: lässt Eintrag über den DHCP machen (funktioniert nicht)
    • Linux Client: lässt Eintrag über den DHCP machen (funktioniert)
    • Drucker: nicht getestet bisher
    • andere Geräte wie z. B. Picker Geräte im Lager: nicht getestet

    Ich hoffe mein Problem wurde nochmal deutlich. Danke!


    • Bearbeitet Stephan1983 Dienstag, 5. August 2014 13:24 Links zu Screenshots ergänzt
    Dienstag, 5. August 2014 13:19