Безопасность DHCP и контроллера домена
По возможности на контроллере домена Active Directory службу DHCP лучше не запускать, поскольку тогда генерируемые записи SVR утрачивают свою защищенность. Причины, по которым это происходит, описаны ниже.
Записи DNS в AD-интегрированной зоне DNS являются "защищенными", а это значит, что обновлять их может только тот клиент, который их изначально создавал. Однако это оказывается источником проблем при автоматическом обновлении записей клиента самим DHCP-сервером, поскольку тогда клиент больше не выполняет эту функцию и, следовательно, не может применять к записи настройки безопасности.
В реализации DHCP, которая поставляется с Windows Server 2008 R2, это ограничение позволяет обходить специальная предлагаемая в Active Directory группа под названием DNSUpdateProxy. Члены этой группы не применяют никаких настроек защиты к объектам, которые сами создают в базе данных DNS. Теоретически клиент, который первым "затронет" запись, становится ответственным за ее защиту.
Недостаток этой концепции состоит в том, что записи, создаваемые DHCP-серверами, изначально не получают никаких настроек защиты и, следовательно, могут оказываться в распоряжении злоумышленников. Поскольку контроллеры доменов отвечают за публикацию DNS-записей SVR, которые раскрывают месторасположение контроллеров доменов, серверов Kerberos и тому подобные сведения, это оставляет в системе безопасности вопиющую брешь, которую злоумышленники могут использовать в своих целях. По этой причине на контроллерах доменов службу DHCP лучше не размещать.
В ситуациях, когда это невозможно, рекомендуется хотя бы не помещать DHCP-сервер в группу DNSUpdateProxy, чтобы избегать связанных с этим проблем, или удостоверяться в наличии у каждой области на DHCP-сервере настроенной учетной записи пользователя для применения обновлений Dynamic DNS. Чтобы добавить выбранную учетную запись пользователя для регистрации Dynamic DNS для DHCP-сервера, откройте консоль DHCP Server (DHCP-сервер). В разделе нужного DHCP-сервера щелкните правой кнопкой мыши на узле IPv4 и выберите в контекстном меню пункт Properties (Свойства). В открывшемся диалоговом окне перейдите на вкладку Advanced (Дополнительно) и щелкните на кнопке Credentials (Учетные данные). Введите имя, домен и пароль учетной записи, которая должна использоваться для проведения обновления и владеть записями Dynamic DNS, касающихся аренд DHCP. Удостоверьтесь в том, что эта запись является учетной записью рядового пользователя, а не администратора домена. С ее помощью разрешено управлять только теми записями, которые создавались от ее имени, но не разрешено ни обновлять, ни заменять существующие записи, созданные клиентами Windows или администраторами DNS.
