web-dev-qa-db-ja.com

安全でないDNSサーバー-DHCPサーバーからの動的更新のみを許可する

「セキュアおよび非セキュア」動的更新用に構成されたスタンドアロンDNSサーバーがあります。同じサーバーにDHCPの役割もインストールしています。

DHCPサーバーのみがDNSのレコードを更新できるようにするにはどうすればよいですか?クライアントがDNSレコードを直接更新できるようにしたくないのです。これを「名前保護」設定と組み合わせて使用​​したいと考えています。 DHCPサーバー、少なくとも、既存の動的レコードを悪意を持って上書きすることはできません。

VLAN上で信頼できるDHCP割り当てIPアドレスのみを許可するようにスイッチを802.1xおよびDHCPスヌーピング用に構成したので、これで十分です。このネットワークでActiveDirectoryを回避しようとしています。

4
Monstieur

まず、安全でないモードを削除します。

セキュアモードと同様に、広告に参加したマシンだけでレコードを更新できます。 (およびdhcpproxy aclの下のdhcpサービス)dnsを更新します。

2番目のポイントは、あなたの質問に答えるために、そのaclをチェックしてください。そのセットを確認します。

enter image description here

その答えから取った: 動的DNS更新を制限する方法

1
yagmoth555

この設定はどこにも文書化されていませんが、先週、管理しているテストサーバーでこのキーを見つけました。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\AllowUpdate

このキーが存在し、値が0の場合、クライアントからの動的更新は拒否されます。同じサーバー上のDHCPサービスからの更新にどのように影響するかはわかりませんが、試してみて、ファイアウォールブロックの代わりになるかどうかを確認できます。

0
Clayton