如何限制dynamicDNS更新
首先,我很抱歉,如果这是模糊的,但我不熟悉的DNS或DNS术语。
我在做什么:
我想限制什么主机名被允许dynamic更新DNS。 我不想最终与一个恶意用户发送dynamicDNS更新与域控制器或半径服务器或相同的主机名。
这是为什么这是一个问题:
- DC一直在丢失DNSlogging
- Debian / Apache2服务器阻止我的IP
- 如何在本地主机上创build多个子域?
- 如何退回到站外login服务器 – ActiveDirectory
- 理解6和7之间明显的DNS变化
我们运行一个混合环境商店,并有很多设备没有绑定到AD,所以我不能将DNS更新限制为仅安全。
有人可以告诉我如何解决这个问题,它叫什么? DNS在Windows Server 2008 R2域控制器上运行。
Windows DNS条目具有ACL。 检查和/或设置它们。
一般来说,dynamic更新的主机名/ Alogging允许任何人更新它们,但是静态的不会,但是无论如何,这种行为是可configuration的。
创build新的Alogging/主机名条目时,您可以select是否允许任何经过身份validation的用户修改logging:
这听起来像“不”是你想要的。 幸运的是,这是默认的。
实际上,默认设置工作得很好,因为它们不会允许任何人通过重命名他们的机器并执行dynamicDNS更新来中毒DNSlogging,或者接pipeDNS表中的域控制器的Alogging。 所以除非你的DNS环境已经以特别差和非常特殊的方式明确configuration,否则你和你的老板没有什么可担心的。
但不要拿我的话来说吧…自己检查一下ACL,然后尝试用一个未经身份validation的客户端劫持域控制器(或任何其他的)DNSlogging。
解决名称冲突
如果在dynamic更新注册期间,客户端确定其名称已经在DNS中注册,并且IP地址属于另一台计算机,则默认情况下,客户端尝试用其新的IP地址replace其他计算机IP地址的注册。 这意味着对于未configuration为安全dynamic更新的区域,networking上的任何用户都可以修改任何客户端计算机的IP地址注册。 对于configuration为安全dynamic更新的区域,只有授权用户才能修改资源logging。
您可以更改默认设置,以便客户端不用replaceIP地址而退出注册过程,并在“事件查看器”中logging错误。 为此,请将DisableReplaceAddressesInConflicts条目的值为1(DWORD)添加到以下registry子项:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
该条目可以是1或0,指定下列之一:
1。 如果客户端试图创build的名称已经存在,则客户端不会尝试覆盖它。
0。 如果客户端试图创build的名称已经存在,客户端会尝试覆盖它。 这是默认值。
(的Technet)