DHCP 不应安装在域控制器上

Question 1

这不是传统观点。也许你把 RRAS 与 DHCP 混淆了？这是有问题的，因为它将 DC 多宿主。DC 上的 DHCP 非常常见。

Answer

这不是传统观点。也许你把 RRAS 与 DHCP 混淆了？这是有问题的，因为它将 DC 多宿主。DC 上的 DHCP 非常常见。

Question 2

此外，如果可以避免，则不应将 DHCP 服务器服务放置在 Active Directory 域控制器上。这样做的原因是，这会更改与服务定位器 (SRV) 记录相关的安全性，而域控制器负责发布这些记录。SRV 记录详细说明了域控制器、Kerberos 服务器和其他服务器的位置，安装 DHCP 时对这些记录的安全性所做的更改意味着网络上的任何客户端都可以更改这些记录。发生这种情况的原因是，如果客户端的 IP 地址发生变化，DHCP 服务器必须能够动态更新客户端记录。因此，它们成为 DNSUpdateProxy 组的成员，并且该组的成员没有对其在 DNS 数据库中创建的对象应用任何安全性。如果无法避免将 DHCP 放置在域控制器上，建议您从 DNSUpdateProxy 组中删除 DHCP 服务器。这应该可以避免此处概述的安全问题，但也会阻止 DHCP 服务器在客户端 IP 地址更改时动态更新 DNS 中的客户端记录。

来源：《Windows Server 2003 Inside Out》

Answer

此外，如果可以避免，则不应将 DHCP 服务器服务放置在 Active Directory 域控制器上。这样做的原因是，这会更改与服务定位器 (SRV) 记录相关的安全性，而域控制器负责发布这些记录。SRV 记录详细说明了域控制器、Kerberos 服务器和其他服务器的位置，安装 DHCP 时对这些记录的安全性所做的更改意味着网络上的任何客户端都可以更改这些记录。发生这种情况的原因是，如果客户端的 IP 地址发生变化，DHCP 服务器必须能够动态更新客户端记录。因此，它们成为 DNSUpdateProxy 组的成员，并且该组的成员没有对其在 DNS 数据库中创建的对象应用任何安全性。如果无法避免将 DHCP 放置在域控制器上，建议您从 DNSUpdateProxy 组中删除 DHCP 服务器。这应该可以避免此处概述的安全问题，但也会阻止 DHCP 服务器在客户端 IP 地址更改时动态更新 DNS 中的客户端记录。

来源：《Windows Server 2003 Inside Out》

DHCP 不应安装在域控制器上

答案1

答案2

相关内容