clemens-der-vierte
Goto Top

DNS Registrierung Workgroup PC mit aktiviertem Namensschutz

Hallo,
aktuell stehe ich vor einer Herausforderung bei der DNS Registrierung.

Zur Umgebung:
- zwei DCs inkl. DHCP und DNS
- DNS Zone ist AD-integriert
- Dynamische Updates: "Nur sichere"
- DHCP: DNS Einstellungen:
- DNS-Einträge immer dynamisch aktualisieren: aktiv
- A- und PTR-Einträge beim Löschen der Lease verwerfen: aktiv
- DNS-Einträge für DHCP-Clients, die keine Aktualisierung anfordern dynamisch aktualisieren
- Namensschutz: aktiv

Nun zur Herausforderung:
Ist der Namensschutz wie oben beschrieben aktiviert, werden (Windows-) Maschinen die nicht Mitglied der Domäne sind nicht im DNS registriert. (Domänenmitglieder funktionieren ohne Probleme, diese registrieren sich ja selbst)
Bei deaktiviertem Namensschutz funktioniert die DNS Registrierung. Der Eintrag wird dann von dem Dienstkonto welches im DHCP dafür konfiguriert wurde erstellt.

Warum können die Records nicht erstellt werden mit Namensschutz?

Über zielführende Hinweise bin ich sehr dankbar.

Viele Grüße
Clemens

Content-Key: 1715152205

Url: https://administrator.de/contentid/1715152205

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: MirkoKR
MirkoKR 12.01.2022 aktualisiert um 12:24:06 Uhr
Goto Top
Zitat von @clemens-der-vierte:

Nun zur Herausforderung:
Ist der Namensschutz wie oben beschrieben aktiviert, werden (Windows-) Maschinen die nicht Mitglied der Domäne sind nicht im DNS registriert. (Domänenmitglieder funktionieren ohne Probleme, diese registrieren sich ja selbst)
Bei deaktiviertem Namensschutz funktioniert die DNS Registrierung. Der Eintrag wird dann von dem Dienstkonto welches im DHCP dafür konfiguriert wurde erstellt.

Warum können die Records nicht erstellt werden mit Namensschutz?

Hi.

Works as drsigned - hier ein Link aus der Google-Suche "Windows DNS Sicher"

https://www.security-insider.de/dns-in-windows-netzwerken-absichern-a-85 ...

"Zunächst sollte in den Eigenschaften der DNS-Zonen auf der Registerkarte „Allgemein“ die Option „Nur sichere“ bei „Dynamische Updates“ eingestellt werden. Das stellt sicher, dass nur authentifizierte Rechner das Recht haben dynamische Einträge zu erstellen.
"


Nachtrag: Hier wäre wahrscheinlich eine feste IP-Adresse und ein manueller DNS-Eintrag sinnvoll - im Sinne des DNS-Schutzes.
Mitglied: clemens-der-vierte
clemens-der-vierte 12.01.2022 um 15:06:54 Uhr
Goto Top
Hallo MirkoKR,
vielen Dank für den interessanten Link. Auf den Namensschutz gehen sie dabei leider nicht ein.

Verstehe ich es richtig, dass wenn ich "nicht sichere und sichere" DNS Updates zulasse, es dann auch funktionieren sollte?
Der Namensschutz verhindert imho ja "nur" das bestehende Einträge verändert/überschrieben werden. Das ist ja hier aber gar nicht der Fall...
Mitglied: MirkoKR
Lösung MirkoKR 12.01.2022 um 15:34:05 Uhr
Goto Top
"Nicht sichere" bedeutet, das Clients, die nicht z.B. in der AD bekannt sind si h im DNS registrieren können
Das könnten also auch Schädlinge sein.

Du musst das Risiko also für dich selbst einschätzen - ich würde es als eher gering einstufen...
Mitglied: clemens-der-vierte
clemens-der-vierte 13.01.2022 aktualisiert um 10:29:29 Uhr
Goto Top
Dann steht für mich aber die Frage im Raum warum es bei etlichen nicht Windows Clients funktioniert (bei "nur sichere Updates"). Diese wurden vom DHCP Dienstkonto im DNS erfolgreich registriert (und sind definitiv nicht in der Domäne).

Noch eine Anmerkung dazu:
In einer Testumgebung habe ich zwei Domänen (ich nenne sie mal alt.local und neu.local). Die DNS und DHCP Einstellungen sind identisch. Bei beiden wird (für einen nicht Domänen Win-Client) kein DNS-A Record angelegt, aber ein PTR Record.
Nun das für mich bisher nicht erklärbare: In der Domäne alt.local liefert nslookup nach dem Namen die richtige IP zurück - in neu.local allerdings nicht.

Woher bezieht nslookup die (richtigen) Daten, wenn es keinen A-Record im DNS gibt?