none
DHCP/DNS dynamische Updates RRS feed

  • Frage

  • Hallo liebe TechNet-Gemeinde , 

    Ich beschäftige mich gerade mit DDNS und es gibt einige Dinge die ich nicht ganz verstehe.

    Bevor ich zu meinen Fragen komme , hier erstmal meine Umgebung :

    - 2 Windows Server 2012 , Beide sind Domain Controller aber zum jetzigen Zeitpunkt beherbergt nur einer der beiden die Dienste    DNS und DHCP.Der Zweite Domain Controller existiert im Moment nur zum Replizieren.

    - 2 Windows 7 Rechner , die beide der Domäne beigetreten sind und über DHCP eine IP-Adresse leasen.

    1. Wie genau geschieht ein Update in der Forward-Lookupzone ?

    Ich weiß bereits das die Updates entweder vom DHCP-Server oder vom Client selbst getätigt werden können.

    Aber wo kann ich sehen wer nun das Update angefordert hat bzw. wo kann ich das Einrichten ?

    Was für Vorteile bringt es mir wenn ich die Updates nur für den DHCP-Server oder nur den Client autorisiere ? 

    2. Warum wird Derjenige , der das Update anfordert zum Besitzer des DNS-Namens ?

    Zu diesem Punkt weiß ich das es anscheinend sinnvoll ist einen Benutzer zu erzeugen der in die DNSUpdateProxy-Gruppe aufgenommen wird und das dafür sorgt , dass der DNS-Name niemanden mehr gehört weil es für Objekte in der DNSUpdateProxy-Gruppe keine Besitzer bzw. Sicherheitsrichtlinien gibt.

    3. Warum sind die Gruppen DHCP-Administratoren und DHCP-Benutzer lokal und nicht global ?

    4. Wenn ein Client hochfährt wird dann DHCPDISCOVER oder BootP ausgeführt ?

    Bei diesem Punkt hab ich nur die Theorie das BootP ausgeführt wird und erkennt das der Netzwerkadapter auf DHCP eingerichtet ist und daher dann den DHCPDISCOVER über den Port 67 verschickt , habe aber leider noch nichts gefunden was meine Theorie bestätigt.

    Ich weiß das sind relativ viele Fragen , bin jedoch für jede Hilfe sehr dankbar.

    Dienstag, 7. März 2017 03:23

Antworten

  • Moin,

    in aller Kürze:

    1. Wenn Du DHCP autorisierst, DNS upzudaten, können auch Clients, die keine dynamische Registrierung vornehmen, ihre DNS-Records erstellen oder aktualisieren.

    2. Die Frage verstehe ich nicht. Aber das Konstrukt ist ausreichend hier beschrieben: https://technet.microsoft.com/de-de/library/dd334715(v=ws.10).aspx

    3. Weil einerseits die Ressourcen, auf die diese Gruppen berechtigt sind, strikt lokal sind und nicht im Global Catalog auftauchen, und andererseits, die User, die da reinkommen, durchaus aus anderen Domains Forests stammen können.

    4. Dass eine derzeit supportete Windows-Version BootP (als Client) kann, wäre mir neu. Wenn die Hardware für irgendwelche Preboot-Schweinereien wie PXE vorbereitet ist, kann es evtl. sein, dass die Hardware eine BootP-Anfrage tätigt, bevor Windows startet. Ab da gibt es nur DHCPDISCOVER. Kannst ja auf jedem Rechner im Segment sniffen, da Broadcast - am besten freilich am DHCP-Server selbst, dann siehst Du auch die Antwort.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 7. März 2017 21:55
  • > 3. Warum sind die Gruppen DHCP-Administratoren und DHCP-Benutzer lokal und nicht global ?
    > Du betreibst einen DHCP Server auf einem Domain Controller, genau aus diesem Grund ist die Gruppe DHCP Administrators eine "Domain Local" Group und hat dadurch gewisse Berechtigungen auf allen DCs innerhalb der Domäne. Denn alle DCs nutzen eine gemeinsame "Benutzerkontendatenbank".
     
    ...in der genauso die globalen Gruppen drinstehen und berechtigt werden können. Aber man will ja die DHCP-Administration vielleicht in einem Forest an eine Gruppe aus einer anderen Domäne delegieren, dann muß es eine DL Gruppe sein :)
     
    > 2. Warum wird derjenige , der das Update anfordert zum Besitzer des DNS-Namens ?
    > Da in der Default Einstellung sichere DNS Registrierung aktiviert sind, wird der Antragsteller auch Owner des DNS Eintrags und hat somit die "Hand" auf dem Eintrag.
     
    Jup. In anderen Worten: "Ersteller = Besitzer" - wer ein Objekt erstellt (egal wo - Dateisystem, AD, Registrierung, DNS...) wird dessen Owner.
     
    Mittwoch, 15. März 2017 10:05

Alle Antworten

  • Moin,

    in aller Kürze:

    1. Wenn Du DHCP autorisierst, DNS upzudaten, können auch Clients, die keine dynamische Registrierung vornehmen, ihre DNS-Records erstellen oder aktualisieren.

    2. Die Frage verstehe ich nicht. Aber das Konstrukt ist ausreichend hier beschrieben: https://technet.microsoft.com/de-de/library/dd334715(v=ws.10).aspx

    3. Weil einerseits die Ressourcen, auf die diese Gruppen berechtigt sind, strikt lokal sind und nicht im Global Catalog auftauchen, und andererseits, die User, die da reinkommen, durchaus aus anderen Domains Forests stammen können.

    4. Dass eine derzeit supportete Windows-Version BootP (als Client) kann, wäre mir neu. Wenn die Hardware für irgendwelche Preboot-Schweinereien wie PXE vorbereitet ist, kann es evtl. sein, dass die Hardware eine BootP-Anfrage tätigt, bevor Windows startet. Ab da gibt es nur DHCPDISCOVER. Kannst ja auf jedem Rechner im Segment sniffen, da Broadcast - am besten freilich am DHCP-Server selbst, dann siehst Du auch die Antwort.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 7. März 2017 21:55
  • Liebe Gemeinde,

    das sind wirklich viele Fragen und fange mit den "einfachen Antworten an".

    3. Warum sind die Gruppen DHCP-Administratoren und DHCP-Benutzer lokal und nicht global ?
    Du betreibst einen DHCP Server auf einem Domain Controller, genau aus diesem Grund ist die Gruppe DHCP Administrators eine "Domain Local" Group und hat dadurch gewisse Berechtigungen auf allen DCs innerhalb der Domäne. Denn alle DCs nutzen eine gemeinsame "Benutzerkontendatenbank".

    2. Warum wird derjenige , der das Update anfordert zum Besitzer des DNS-Namens ?
    Sobald ein in die Domain integriertes System eine IP erhält, versucht es diese IP im DNS zu registrieren. Da in der Default Einstellung sichere DNS Registrierung aktiviert sind, wird der Antragsteller auch Owner des DNS Eintrags und hat somit die "Hand" auf dem Eintrag.
    Hier kommt es häufig zu Kollisionen. VPN Clients, Wechsel zwischen verschieden Netzen (WLAN, LAN und unterschiedliche DHCP-Helper). Es ist häufig ein Streit zwischen direkt durch einen DHCP-Client registrierten Eintrag und einem Versuch durch den DHCP Server Dienst einen Eintrag zu registrieren. Bei secure Updates im DNS ist der DNS Owner und die Gruppe der DNSAdmins / DNSUpdateProxy entscheidend wer einen DNS Eintrag manipulieren darf.

    In sicherheitstrelevanten Umgebungen kann es kontraproduktiv sein, DHCP Dienste auf DCs zu betreiben. Den die Domain local Groups DNS Admins und DHCP Administrators sind defacto Domain Admins.

    Abschließend: Ich stimme  Evgenij zu, vollständig installierte Windows Systeme führen ein klassisches DHCP Request aus und keine Bootp Anfrage.

    Ich hoffe ich konnte etwas helfen.

    Gruß Malte Pabst

    Dienstag, 14. März 2017 22:09
  • > 3. Warum sind die Gruppen DHCP-Administratoren und DHCP-Benutzer lokal und nicht global ?
    > Du betreibst einen DHCP Server auf einem Domain Controller, genau aus diesem Grund ist die Gruppe DHCP Administrators eine "Domain Local" Group und hat dadurch gewisse Berechtigungen auf allen DCs innerhalb der Domäne. Denn alle DCs nutzen eine gemeinsame "Benutzerkontendatenbank".
     
    ...in der genauso die globalen Gruppen drinstehen und berechtigt werden können. Aber man will ja die DHCP-Administration vielleicht in einem Forest an eine Gruppe aus einer anderen Domäne delegieren, dann muß es eine DL Gruppe sein :)
     
    > 2. Warum wird derjenige , der das Update anfordert zum Besitzer des DNS-Namens ?
    > Da in der Default Einstellung sichere DNS Registrierung aktiviert sind, wird der Antragsteller auch Owner des DNS Eintrags und hat somit die "Hand" auf dem Eintrag.
     
    Jup. In anderen Worten: "Ersteller = Besitzer" - wer ein Objekt erstellt (egal wo - Dateisystem, AD, Registrierung, DNS...) wird dessen Owner.
     
    Mittwoch, 15. März 2017 10:05