Hallo,
aktuell betreiben wir unsere AD integrierte DNS-Zone im Modus unsichere Updates zulassen. Weiterhin ist der DHCP so konfiguriert, dass er immer die dynamischen Updates in der Zone vornimmt. Dies hat zur Folge, dass die Objekte in der unsicheren DNS-Zone nicht geschützt sind und der DNS-Eintrag eines Servers einfach vom DHCP überschrieben wird, wenn ein neuer Host mit gleichem Hostnamen im Netzwerk vorhanden ist.
Daher ist das Ziel die DNS-Zone sicher vor Manipulationen zu machen. Aus meiner Sicht ist der erste wesentliche Schritt, dass die Zone auf "nur sichere Updates" umgestellt wird. Dies hilft allerdings noch nicht weiter, da im jetzigen Zustand der DHCP zwar der Besitzer der DNS-Objekte wird, aber immernoch alle Einträge ändern kann. D. h. die Server Objekte könnten weiterhin überschrieben werden.
Jetzt gibt es aus meiner Sicht zwei Wege:
1. AD-Mitglieder tragen sich selber im DNS ein und werden ihr eigener Owner --> Der DHCP kann diese Einträge nicht mehr manipulieren
2. Im DHCP wird die Option Namensschutz aktiviert --> DHCCID Records schützen bestehende Objekte davor manipuliert zu werden.
Damit im 1. Fall die AD-Mitglieder selbständig die Einträge vornehmen, muss im DHCP eingestellt werden, dass dieser nur nach Aufforderung Einträge im DNS macht. Leider tun nicht-AD Windows Clients dies nicht, wodurch für diese keine Einträge im DNS vorgenommen werden.
Leider werden auch im 2. Fall keine Einträge für nicht-AD Windows Clients erzeugt.
Ist dieses Verhalten normal bzw. kann es geändert werden? In folgendem Forum sind meine Testergebnisse auch nochmal dokumentiert: http://www.mcseboard.de/topic/199043-dns-absichern/
Vielen Dank!