Выполнение безопасных обновлений зон DNS

Динамические обновления зон DNS

Одной из главных проблем в случае реализации динамической службы DNS (Dynamic DNS) является безопасность механизма обновления. Если не принять специальных мер защиты, ничто не помешает злонамеренным пользователям обновлять записи сервера и делать, например, так, чтобы они указывали на какой-то другой IP-адрес. Такой прием часто называют отравлением DNS (DNS poisoning). По этой причине в новых стандартных зонах, которые создаются в Windows Server 2008 R2, динамические обновления по умол­чанию отключены. Однако в случае интегрируемых в AD зон DNS существует механизм, который позволяет клиентам выполнять динамические обновления безопасным образом. Этот механизм подразумевает использование Kerberos для аутентификации компьютеров, и гарантирует, что обновлять запись впоследствии сможет только тот клиент, который ее ранее создал.

В случае применения протокола DHCP для обеспечения безопасных обновлений от имени клиентов DHCP важно учитывать следующую особенность: из-за связанных с безо­пасными обновлениями моментами лучше, чтобы DHCP-серверы по возможности не раз­мещались на контроллере домена. Причиной для такой рекомендации служит тот факт, что все DHCP-серверы помещаются в группу под названием DNSUpdateProxy, члены которой никогда не получают прав на владение публикуемыми в DNS элементами.

Эта группа была создана из-за того, что DHCP-серверы могут публиковать динамические обновления для клиентов автоматически, а клиентам нужно иметь возможность самостоятельно изменять свои записи. Это означает, что первый же клиент, обращающийся к только что созданной записи, будет получать права на ее владение. А поскольку контроллеры доменов создают важные для безопасности записи SRV и другую подобную информацию, естественно полу­чается, что делать членом этой группы контроллер домена и, следовательно, размещать на нем DHCP-сервер не разумно. Если установки DHCP-сервера на контроллере домена никак нельзя избежать, тогда рекомендуется отключить эту функциональную возможность, не до­бавляя сервер в данную группу.

2016  Командная строка Windows  
top Яндекс.Метрика