DNS 및 DHCP 서버를 실행하는 Windows 2012 도메인 컨트롤러가 있습니다. 기본 설정 은 DHCP 클라이언트가 요청한 경우에만 DNS A 및 PTR 레코드를 동적으로 업데이트 하는 것으로 나타납니다 .
(이것은 Scope Properties-> 아래에 있습니다 DNS)
DNS A 및 PTR 레코드를 항상 동적으로 업데이트 를 선택하면 단점이 있습니까?
업데이트를 요청하지 않는 DHCP 클라이언트 (예 : Windows NT 4.0을 실행하는 클라이언트)에 대한 DNS A 및 PTR 레코드 와 동적 업데이트 의 차이점은 무엇입니까 ?
답변:
그것은 당신이하고 싶은 것에 달려 있습니다.
기본적으로 Windows 시스템은 DNS와 직접 대화하고 자체 A레코드를 업데이트하며 DHCP에 PTR레코드 업데이트를 요청합니다 .
DNS A및 PTR레코드 를 항상 동적으로 업데이트 를 활성화 하면 클라이언트가 클라이언트에게 업데이트를 요청하는 경우에도 두 레코드를 모두 업데이트하도록 DHCP에 지시합니다 PTR.
NT 4.0 예제는 요즘 관련성이 없으므로 Windows 및 Mac (또는 Linux) 클라이언트가있는 혼합 환경을 고려하십시오.
Windows 시스템은 동적 DNS 업데이트를 처리하거나 DHCP에 요청합니다.
그러나 Mac / Linux 클라이언트는 그렇지 않습니다. 이 옵션을 사용하면 DHCP가 동적 DNS 업데이트를 요청하지 않거나 요청할 수없는 이러한 시스템에 대한 레코드를 작성할 수 있습니다.
DnsUpdateProxy 그룹의 사용과 관련하여 DHCP 서버 만 동적 DNS 업데이트 사용자가 아닌 해당 그룹의 구성원이어야한다는 것을 알고 있습니다. 사용자 계정은 DnsUpdateProxy 그룹이 아닌 DHCP 서버 구성에 추가되어야합니다.
DnsUpdateProxy 그룹은 DNS 클라이언트를위한 것입니다. 사용자는 클라이언트가 아니며 보안 업데이트 만 설정 한 경우 클라이언트 (DHCP 서버)에서 DNS에 대한 동적 업데이트를 수행하는 데 사용하는 메커니즘입니다. 클라이언트는 DHCP 서버로 남아 있습니다.
DHCP 서버가 DC에 있으면 그룹의 서버 구성원을 만들고 사용자를 DHCP 구성에 추가하는 것 외에도 OpenACLOnProxyUpdates를 해제해야합니다. DnsUpdateProxy 그룹의 구성원 자격이 DNS 레코드에 대해 너무 많은 권한을 부여하므로 취약점을 추가하지 않는 경우.
일부 학교에서는 DC의 DHCP가 DnsUpdateProxy의 구성원이 아니어야하며 DNS 업데이트 사용자 만 DHCP에 할당해야한다고 제안합니다. 구식 Windows Server의 경우에는 사실이지만 2012R2 이상에서는 기술 문서에서 서버가 여전히 DnsUpdateProxy 그룹에 있어야하지만 DC이기 때문에 해당 그룹 구성원의 권한으로 인해 취약점이 발생한다는 의미입니다.
따라서 보안 동적 DNS 업데이트가 활성화 된 DC에서 DHCP를 사용하는 경우 DHCP를 실행하는 DC에서도이 명령을 실행해야합니다. 따라서 해당 DNS는 "외부"업데이트가 DHCP 소유의 레코드를 변경할 수 없습니다.
dnscmd / config / OpenAclOnProxyUpdates 0
결론-DnsUpdateProxy 그룹은 사용자 개체가 아닙니다. DHCP 서버 개체 (DHCP 클라이언트)에만 사용해야하며, 주로 DC 서버가 아닌 서버에 DHCP 서버를 설치하는 "모범 사례"를위한 것입니다. DNS를 동적으로 업데이트하는 데 필요한 권한을 부여합니다. 해당 그룹에 보안 업데이트 사용자를 추가하는 것은 아무 목적이 없습니다.