DNS Registrierung Workgroup PC mit aktiviertem Namensschutz

Hallo,
aktuell stehe ich vor einer Herausforderung bei der DNS Registrierung.

Zur Umgebung:
- zwei DCs inkl. DHCP und DNS
- DNS Zone ist AD-integriert
- Dynamische Updates: "Nur sichere"
- DHCP: DNS Einstellungen:
- DNS-Einträge immer dynamisch aktualisieren: aktiv
- A- und PTR-Einträge beim Löschen der Lease verwerfen: aktiv
- DNS-Einträge für DHCP-Clients, die keine Aktualisierung anfordern dynamisch aktualisieren
- Namensschutz: aktiv

Nun zur Herausforderung:
Ist der Namensschutz wie oben beschrieben aktiviert, werden (Windows-) Maschinen die nicht Mitglied der Domäne sind nicht im DNS registriert. (Domänenmitglieder funktionieren ohne Probleme, diese registrieren sich ja selbst)
Bei deaktiviertem Namensschutz funktioniert die DNS Registrierung. Der Eintrag wird dann von dem Dienstkonto welches im DHCP dafür konfiguriert wurde erstellt.

Warum können die Records nicht erstellt werden mit Namensschutz?

Über zielführende Hinweise bin ich sehr dankbar.

Viele Grüße
Clemens

Content-Key: 1715152205

Url: https://administrator.de/contentid/1715152205

Ausgedruckt am: 28.01.2022 um 16:01 Uhr

Mitglied: MirkoKR
MirkoKR 12.01.2022 aktualisiert um 12:24:06 Uhr
Goto Top
Zitat von @clemens-der-vierte:

Nun zur Herausforderung:
Ist der Namensschutz wie oben beschrieben aktiviert, werden (Windows-) Maschinen die nicht Mitglied der Domäne sind nicht im DNS registriert. (Domänenmitglieder funktionieren ohne Probleme, diese registrieren sich ja selbst)
Bei deaktiviertem Namensschutz funktioniert die DNS Registrierung. Der Eintrag wird dann von dem Dienstkonto welches im DHCP dafür konfiguriert wurde erstellt.

Warum können die Records nicht erstellt werden mit Namensschutz?

Hi.

Works as drsigned - hier ein Link aus der Google-Suche "Windows DNS Sicher"

https://www.security-insider.de/dns-in-windows-netzwerken-absichern-a-85 ...

"Zunächst sollte in den Eigenschaften der DNS-Zonen auf der Registerkarte „Allgemein“ die Option „Nur sichere“ bei „Dynamische Updates“ eingestellt werden. Das stellt sicher, dass nur authentifizierte Rechner das Recht haben dynamische Einträge zu erstellen.
"


Nachtrag: Hier wäre wahrscheinlich eine feste IP-Adresse und ein manueller DNS-Eintrag sinnvoll - im Sinne des DNS-Schutzes.
Mitglied: clemens-der-vierte
clemens-der-vierte 12.01.2022 um 15:06:54 Uhr
Goto Top
Hallo MirkoKR,
vielen Dank für den interessanten Link. Auf den Namensschutz gehen sie dabei leider nicht ein.

Verstehe ich es richtig, dass wenn ich "nicht sichere und sichere" DNS Updates zulasse, es dann auch funktionieren sollte?
Der Namensschutz verhindert imho ja "nur" das bestehende Einträge verändert/überschrieben werden. Das ist ja hier aber gar nicht der Fall...
Mitglied: MirkoKR
MirkoKR 12.01.2022 um 15:34:05 Uhr
Goto Top
"Nicht sichere" bedeutet, das Clients, die nicht z.B. in der AD bekannt sind si h im DNS registrieren können
Das könnten also auch Schädlinge sein.

Du musst das Risiko also für dich selbst einschätzen - ich würde es als eher gering einstufen...
Mitglied: clemens-der-vierte
clemens-der-vierte 13.01.2022 aktualisiert um 10:29:29 Uhr
Goto Top
Dann steht für mich aber die Frage im Raum warum es bei etlichen nicht Windows Clients funktioniert (bei "nur sichere Updates"). Diese wurden vom DHCP Dienstkonto im DNS erfolgreich registriert (und sind definitiv nicht in der Domäne).

Noch eine Anmerkung dazu:
In einer Testumgebung habe ich zwei Domänen (ich nenne sie mal alt.local und neu.local). Die DNS und DHCP Einstellungen sind identisch. Bei beiden wird (für einen nicht Domänen Win-Client) kein DNS-A Record angelegt, aber ein PTR Record.
Nun das für mich bisher nicht erklärbare: In der Domäne alt.local liefert nslookup nach dem Namen die richtige IP zurück - in neu.local allerdings nicht.

Woher bezieht nslookup die (richtigen) Daten, wenn es keinen A-Record im DNS gibt?
Heiß diskutierte Beiträge
question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 1 TagFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

question
Vorkehrungen für einen StromausfallahussainVor 1 TagFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Acrobat Reader in 32bit? kein 64?Cougar77Vor 1 TagFrageMultimedia8 Kommentare

Hi, ich versteh grade den Acrobat Reader nicht Wenn ich den aktuellen Reader für die Verteilung im Unternehmen runterlade, installiert es den Reader in der ...

question
Zwei Glasfaseranschlüsse zu einem Lan Netzwerk verbinden gelöst Moritz2009Vor 1 TagFrageNetzwerke7 Kommentare

Hallo zusammen, ist es möglich zwei Glasfaser (FTTH-500Mbits/s) Anschlüsse, mit je einer Fritz!Box 7590 und 7530, in einem Netzwerk zu betreiben? Die Fritz!Boxen werden jeweils ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...

question
OS-Installation auf ProLiant Microserver Gen10 Plus schlägt fehl gelöst keine-ahnungVor 8 StundenFrageWindows Installation12 Kommentare

Moin at all, ich habe gestern stundenlang mit der o.g. Kiste gekämpft, um dort ein Windows 2016 (HPE ROK) zu installieren - keine Chance. In ...

question
Macos monterey auf normalen PC installierenjj-webhostingVor 22 StundenFrageMac OS X5 Kommentare

Hallo zusammen, Mich würde mal folgendes interessieren, kann man MacOS Monterey auch auf ein normalen PC installieren? Sprich auf kein Macbook? Wäre für mich interessant, ...