0
VDI: Dynamische DNS Updates via DHCP
Hallo Admins,
vielleicht kann mich jemand erleuchten. Wir haben eine primäre AD-integrierte DNS Zone mit der Einstellung "nur sichere dynamische Updates". Darüber hinaus betreiben wir auf einem Member-Server einen DHCP Server. Der DHCP Server ist konfiguriert, dass über einen delegierten AD-Account die DNS Einträge aktualisieren kann. Darüber hinaus sind folgende Haken gesetzt:
Die häufig angesprochene Gruppe "DNSUpdateProxy" ist leer!
Ergebnis:
Auf den A-Records wird als Owner das entsprechende Computerkonto gesetzt. Auf den PTR-Records ist es der im DHCP hinterlegte Service User. Für mein Verständnis das korrekte Ergebnis.
Problem:
Die VDI Clients (VMware bzw. Omnissa) aktualisieren die A-Records nicht da die Maschinenkonten bei dynamischen Pools verworfen und neu erstellt werden. Damit bleiben die alten Einträge erhalten und werden - wenn überhaupt - durch den Aufräumvorgang des DNS verworfen. In der ACL des jeweiligen A-Eintrags sehe ich eine verwaiste SID des alten Computeraccounts.
-Diese Probleme haben wir ausschließlich in der VDI da dort die Konten täglich teilweise mehrfach verworfen werden-
Eine mögliche Lösung wäre es im DHCP für die entsprechenden (VDI-)Scopes einzustellen, dass die Registrierung fortan ausschließlich der DHCP mit dem hinterlegten Service User macht. Gängige Praxis? Sicherheitsrisiko oder noch etwas anderes was ich übersehe?
Ich bin auf eure Meinung gespannt.
Danke im Voraus und Gruß
Belloci
vielleicht kann mich jemand erleuchten. Wir haben eine primäre AD-integrierte DNS Zone mit der Einstellung "nur sichere dynamische Updates". Darüber hinaus betreiben wir auf einem Member-Server einen DHCP Server. Der DHCP Server ist konfiguriert, dass über einen delegierten AD-Account die DNS Einträge aktualisieren kann. Darüber hinaus sind folgende Haken gesetzt:
Die häufig angesprochene Gruppe "DNSUpdateProxy" ist leer!
Ergebnis:
Auf den A-Records wird als Owner das entsprechende Computerkonto gesetzt. Auf den PTR-Records ist es der im DHCP hinterlegte Service User. Für mein Verständnis das korrekte Ergebnis.
Problem:
Die VDI Clients (VMware bzw. Omnissa) aktualisieren die A-Records nicht da die Maschinenkonten bei dynamischen Pools verworfen und neu erstellt werden. Damit bleiben die alten Einträge erhalten und werden - wenn überhaupt - durch den Aufräumvorgang des DNS verworfen. In der ACL des jeweiligen A-Eintrags sehe ich eine verwaiste SID des alten Computeraccounts.
-Diese Probleme haben wir ausschließlich in der VDI da dort die Konten täglich teilweise mehrfach verworfen werden-
Eine mögliche Lösung wäre es im DHCP für die entsprechenden (VDI-)Scopes einzustellen, dass die Registrierung fortan ausschließlich der DHCP mit dem hinterlegten Service User macht. Gängige Praxis? Sicherheitsrisiko oder noch etwas anderes was ich übersehe?
Ich bin auf eure Meinung gespannt.
Danke im Voraus und Gruß
Belloci
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671465
Url: https://administrator.de/forum/vdi-dynamische-dns-updates-via-dhcp-671465.html
Ausgedruckt am: 20.02.2025 um 18:02 Uhr
