4
DNS Registrierung Workgroup PC mit aktiviertem Namensschutz
Hallo,
aktuell stehe ich vor einer Herausforderung bei der DNS Registrierung.
Zur Umgebung:
- zwei DCs inkl. DHCP und DNS
- DNS Zone ist AD-integriert
- Dynamische Updates: "Nur sichere"
- DHCP: DNS Einstellungen:
- DNS-Einträge immer dynamisch aktualisieren: aktiv
- A- und PTR-Einträge beim Löschen der Lease verwerfen: aktiv
- DNS-Einträge für DHCP-Clients, die keine Aktualisierung anfordern dynamisch aktualisieren
- Namensschutz: aktiv
Nun zur Herausforderung:
Ist der Namensschutz wie oben beschrieben aktiviert, werden (Windows-) Maschinen die nicht Mitglied der Domäne sind nicht im DNS registriert. (Domänenmitglieder funktionieren ohne Probleme, diese registrieren sich ja selbst)
Bei deaktiviertem Namensschutz funktioniert die DNS Registrierung. Der Eintrag wird dann von dem Dienstkonto welches im DHCP dafür konfiguriert wurde erstellt.
Warum können die Records nicht erstellt werden mit Namensschutz?
Über zielführende Hinweise bin ich sehr dankbar.
Viele Grüße
Clemens
aktuell stehe ich vor einer Herausforderung bei der DNS Registrierung.
Zur Umgebung:
- zwei DCs inkl. DHCP und DNS
- DNS Zone ist AD-integriert
- Dynamische Updates: "Nur sichere"
- DHCP: DNS Einstellungen:
- DNS-Einträge immer dynamisch aktualisieren: aktiv
- A- und PTR-Einträge beim Löschen der Lease verwerfen: aktiv
- DNS-Einträge für DHCP-Clients, die keine Aktualisierung anfordern dynamisch aktualisieren
- Namensschutz: aktiv
Nun zur Herausforderung:
Ist der Namensschutz wie oben beschrieben aktiviert, werden (Windows-) Maschinen die nicht Mitglied der Domäne sind nicht im DNS registriert. (Domänenmitglieder funktionieren ohne Probleme, diese registrieren sich ja selbst)
Bei deaktiviertem Namensschutz funktioniert die DNS Registrierung. Der Eintrag wird dann von dem Dienstkonto welches im DHCP dafür konfiguriert wurde erstellt.
Warum können die Records nicht erstellt werden mit Namensschutz?
Über zielführende Hinweise bin ich sehr dankbar.
Viele Grüße
Clemens
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1715152205
Url: https://administrator.de/contentid/1715152205
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
4 Kommentare
Neuester Kommentar
Zitat von @clemens-der-vierte:
Nun zur Herausforderung:
Ist der Namensschutz wie oben beschrieben aktiviert, werden (Windows-) Maschinen die nicht Mitglied der Domäne sind nicht im DNS registriert. (Domänenmitglieder funktionieren ohne Probleme, diese registrieren sich ja selbst)
Bei deaktiviertem Namensschutz funktioniert die DNS Registrierung. Der Eintrag wird dann von dem Dienstkonto welches im DHCP dafür konfiguriert wurde erstellt.
Warum können die Records nicht erstellt werden mit Namensschutz?
Hi.Nun zur Herausforderung:
Ist der Namensschutz wie oben beschrieben aktiviert, werden (Windows-) Maschinen die nicht Mitglied der Domäne sind nicht im DNS registriert. (Domänenmitglieder funktionieren ohne Probleme, diese registrieren sich ja selbst)
Bei deaktiviertem Namensschutz funktioniert die DNS Registrierung. Der Eintrag wird dann von dem Dienstkonto welches im DHCP dafür konfiguriert wurde erstellt.
Warum können die Records nicht erstellt werden mit Namensschutz?
Works as drsigned - hier ein Link aus der Google-Suche "Windows DNS Sicher"
https://www.security-insider.de/dns-in-windows-netzwerken-absichern-a-85 ...
"Zunächst sollte in den Eigenschaften der DNS-Zonen auf der Registerkarte „Allgemein“ die Option „Nur sichere“ bei „Dynamische Updates“ eingestellt werden. Das stellt sicher, dass nur authentifizierte Rechner das Recht haben dynamische Einträge zu erstellen.
"
Nachtrag: Hier wäre wahrscheinlich eine feste IP-Adresse und ein manueller DNS-Eintrag sinnvoll - im Sinne des DNS-Schutzes.
Hallo MirkoKR,
vielen Dank für den interessanten Link. Auf den Namensschutz gehen sie dabei leider nicht ein.
Verstehe ich es richtig, dass wenn ich "nicht sichere und sichere" DNS Updates zulasse, es dann auch funktionieren sollte?
Der Namensschutz verhindert imho ja "nur" das bestehende Einträge verändert/überschrieben werden. Das ist ja hier aber gar nicht der Fall...
vielen Dank für den interessanten Link. Auf den Namensschutz gehen sie dabei leider nicht ein.
Verstehe ich es richtig, dass wenn ich "nicht sichere und sichere" DNS Updates zulasse, es dann auch funktionieren sollte?
Der Namensschutz verhindert imho ja "nur" das bestehende Einträge verändert/überschrieben werden. Das ist ja hier aber gar nicht der Fall...
"Nicht sichere" bedeutet, das Clients, die nicht z.B. in der AD bekannt sind si h im DNS registrieren können
Das könnten also auch Schädlinge sein.
Du musst das Risiko also für dich selbst einschätzen - ich würde es als eher gering einstufen...
Das könnten also auch Schädlinge sein.
Du musst das Risiko also für dich selbst einschätzen - ich würde es als eher gering einstufen...
Dann steht für mich aber die Frage im Raum warum es bei etlichen nicht Windows Clients funktioniert (bei "nur sichere Updates"). Diese wurden vom DHCP Dienstkonto im DNS erfolgreich registriert (und sind definitiv nicht in der Domäne).
Noch eine Anmerkung dazu:
In einer Testumgebung habe ich zwei Domänen (ich nenne sie mal alt.local und neu.local). Die DNS und DHCP Einstellungen sind identisch. Bei beiden wird (für einen nicht Domänen Win-Client) kein DNS-A Record angelegt, aber ein PTR Record.
Nun das für mich bisher nicht erklärbare: In der Domäne alt.local liefert nslookup nach dem Namen die richtige IP zurück - in neu.local allerdings nicht.
Woher bezieht nslookup die (richtigen) Daten, wenn es keinen A-Record im DNS gibt?
Noch eine Anmerkung dazu:
In einer Testumgebung habe ich zwei Domänen (ich nenne sie mal alt.local und neu.local). Die DNS und DHCP Einstellungen sind identisch. Bei beiden wird (für einen nicht Domänen Win-Client) kein DNS-A Record angelegt, aber ein PTR Record.
Nun das für mich bisher nicht erklärbare: In der Domäne alt.local liefert nslookup nach dem Namen die richtige IP zurück - in neu.local allerdings nicht.
Woher bezieht nslookup die (richtigen) Daten, wenn es keinen A-Record im DNS gibt?
