首先,如果这有点模糊,我很抱歉,但我对 DNS 或 DNS 术语不是很熟悉。
我正在尝试做的事情:
我想限制允许动态更新 DNS 的主机名。我不希望最终有恶意用户发送与域控制器或 radius 服务器等具有相同主机名的动态 DNS 更新。
这就是为什么这是一个问题:
我们经营一家混合环境商店,并且拥有许多未与 AD 绑定的设备,因此我无法将 DNS 更新限制为仅安全。
有人能告诉我如何修复这个问题以及它叫什么吗?DNS 在 Windows Server 2008 R2 域控制器上运行。
答案1
Windows DNS 条目具有 ACL。请检查并/或设置它们。
一般来说,动态更新的主机名/A 记录允许任何人更新它们,但静态的则不允许,但无论哪种方式,这种行为都是可配置的。
创建新的 A 记录/主机名条目时,您可以选择允许任何经过身份验证的用户修改该记录或不允许:
听起来你更喜欢“不”。幸运的是,这是默认设置。
事实上,默认设置效果很好,因为它们不会允许任何人通过简单地重命名其计算机并执行动态 DNS 更新来毒害 DNS 记录或接管 DNS 表中域控制器的 A 记录。因此,除非您的 DNS 环境的配置方式特别糟糕且非常具体,否则您和您的老板无需担心任何事情。
但不要相信我的话...请自行检查 ACL,并尝试使用未经身份验证的客户端劫持域控制器(或其他任何东西)的 DNS 记录。
答案2
解决名称冲突
如果在动态更新注册期间,客户端确定其名称已在 DNS 中注册,且 IP 地址属于另一台计算机,则默认情况下,客户端会尝试用新 IP 地址替换另一台计算机的 IP 地址注册。这意味着,对于未配置安全动态更新的区域,网络上的任何用户都可以修改任何客户端计算机的 IP 地址注册。但是,对于配置了安全动态更新的区域,只有授权用户才能修改资源记录。
您可以更改默认设置,以便客户端退出注册过程并在事件查看器中记录错误,而不是替换 IP 地址。为此,请将值为 1 (DWORD) 的 DisableReplaceAddressesInConflicts 条目添加到以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\参数
该条目可以是 1 或 0,指定下列内容之一:
1. 如果客户端尝试创建的名称已经存在,则客户端不会尝试覆盖它。
0 。如果客户端尝试创建的名称已存在,则客户端会尝试覆盖它。这是默认值。