安全でないDNSサーバー-DHCPサーバーからの動的更新のみを許可する
「セキュアおよび非セキュア」動的更新用に構成されたスタンドアロンDNSサーバーがあります。同じサーバーにDHCPの役割もインストールしています。
DHCPサーバーのみがDNSのレコードを更新できるようにするにはどうすればよいですか?クライアントがDNSレコードを直接更新できるようにしたくないのです。これを「名前保護」設定と組み合わせて使用したいと考えています。 DHCPサーバー、少なくとも、既存の動的レコードを悪意を持って上書きすることはできません。
VLAN上で信頼できるDHCP割り当てIPアドレスのみを許可するようにスイッチを802.1xおよびDHCPスヌーピング用に構成したので、これで十分です。このネットワークでActiveDirectoryを回避しようとしています。
まず、安全でないモードを削除します。
セキュアモードと同様に、広告に参加したマシンだけでレコードを更新できます。 (およびdhcpproxy aclの下のdhcpサービス)dnsを更新します。
2番目のポイントは、あなたの質問に答えるために、そのaclをチェックしてください。そのセットを確認します。
その答えから取った: 動的DNS更新を制限する方法
この設定はどこにも文書化されていませんが、先週、管理しているテストサーバーでこのキーを見つけました。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\AllowUpdate
このキーが存在し、値が0の場合、クライアントからの動的更新は拒否されます。同じサーバー上のDHCPサービスからの更新にどのように影響するかはわかりませんが、試してみて、ファイアウォールブロックの代わりになるかどうかを確認できます。