none
DHCP-Server mit Service-Account der Gruppe DnsUpdateProxy RRS feed

  • Frage

  • Sehr geehrte Kolleginnen und Kollegen,

    früher habe ich den DHCP-Server-Dienst immer mit "admin"-Rechten laufen lassen und alles war gut.

    Dann war ich mal auf einer Schulung und es gab ein Sicherheit-Audit und ich bin auf die Gruppe DnsUpdateProxy aufmerksam gemacht worden. Es wurde empfohlen, den Service-Account nur mit dieser Gruppenmitgliedschaft laufen zu lassen. Das habe ich dann auch gemacht und das funktioniert zu 90 %.  Nur bei den neu aufgesetzten PC's, da wo die GPO zum Unterdrücken der Selbstregistrierung noch nicht zieht, klappt das nicht. Diese DNS-Einträge habe immer noch das Computer-Konto als Besitzer drin und der Service-Account vom DHCP kann nicht überschreiben. Wie löst man das?

    Tango


    • Bearbeitet Tango_ball Mittwoch, 17. November 2021 13:10
    Mittwoch, 17. November 2021 13:09

Antworten

  • ich ab es:

    Der Registry-Schlüssel zum "Nicht-Registrieren im DNS" muß in der Setup-Routine für Client-Installation vor der Aufnahme in die Domänen erfolgen. Dann ist das Problem weg.

    • Als Antwort markiert Tango_ball Dienstag, 30. November 2021 13:24
    Dienstag, 30. November 2021 13:24

Alle Antworten

  • Moin,

    erstens: In die Gruppe DNSUpdateProxy müssen die DHCP-Server, nicht das Service-Konto. Das Service-Konto braucht gar keine Rechte außer Domain User.

    zweitens: Die vor der Umstellung selbstregistrierten Records musst Du einmal löschen und von DHCP neu erzeugen lassen.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Mittwoch, 17. November 2021 13:25
  • Hallo Evgenij,

    vielen Dank für Deine Hilfe.

    ja, Deine Anmerkungen sind beide richtig. Und Punkt zwei habe ich auch gemacht. Ich habe nur hier im Text vergessen zu erwähnen.

    Das Problem bleibt aber trotz Deiner Anmerkungen bestehen. 


    Mittwoch, 17. November 2021 14:21
  •  Es werden ja täglich neue PC's installiert. und bevor die GPO zur Unterdrückung ziehen kann, sind die Einträge drin. Dann kann ich als Admin hergehen und sie löschen. 

    Das ist eine doofe Arbeit.  Lasse ich den Dienst als DNS-Admin laufen (oder wegen mir auch dien Computerkonten der Server), ist alles ok.

    Mittwoch, 17. November 2021 14:28
  • ich ab es:

    Der Registry-Schlüssel zum "Nicht-Registrieren im DNS" muß in der Setup-Routine für Client-Installation vor der Aufnahme in die Domänen erfolgen. Dann ist das Problem weg.

    • Als Antwort markiert Tango_ball Dienstag, 30. November 2021 13:24
    Dienstag, 30. November 2021 13:24