vmorbit 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Hallo, ich habe hier ne 2k3 domain mit nem 2k3 r2 sp2 dhcp und dns server. ich hab auch reverse-lookup-zonen konfiguriert, doch wie ich leider feststellen musste, tragt sich dort nichts ein. jetzt hab ich die dynamischen updates auch mal für unsichere verbindungen zugelassen und auf einmal werden 300 records erstellt. per group policy verteile ich keine DNS Client options und in den DCHP options steht der richtige server... komisch ist auch: wenn ich nem client eine fixe IP gebe, klappts anscheinend auch mit dem regstrieren der PTR einträge...nur bei DHCP clients nicht... und alle A-Records und co. funktionieren sowieso tadellos...der fehler tritt nur bei DHCP clients aus... eventlog spuckt weder am client noch am server was brauchbares aus... vielleicht kann mir ja jemand helfen von euch! thx in advice!!! Zitieren Link zu diesem Kommentar
Theo Dor 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Schau mal in der DHCP-MMC unter Eigenschaften des DHCP-Servers, Reiter "DNS". Wie siehts da aus? Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 4. April 2008 Autor Melden Teilen Geschrieben 4. April 2008 dynamische updates über den dhcp server hab ich deaktiviert, da ich will, dass sich die clients selbst am dns registrieren...secure eben. die clients selbst sollten doch auch in der lage sein, PTR records zu registrieren oder? Zitieren Link zu diesem Kommentar
Theo Dor 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 So weit ich weiß werden PTR immer nur vom DHCP eingetragen und aktualisiert. Eben nach Aufforderung durch den Client oder immer. Der Client schreibt nur seinen A. Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 4. April 2008 Autor Melden Teilen Geschrieben 4. April 2008 Kann das jemand bestätigen so? Hab gerade den Kurs für die Prüfung 291 hinter mir, aber das dem so ist, hätte ich noch nicht gehört. Das heißt keiner von euch hat sichere dynamische updates auf der reverse lookup zone? Zitieren Link zu diesem Kommentar
Theo Dor 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Dann gibt es da noch die Gruppe "DNSUpdateProxy". Da muss der DHCP-Server dann auch noch Mitglied sein. Dann klappt's auch mit den sicheren Updates.:D Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Kann das jemand bestätigen so?Hab gerade den Kurs für die Prüfung 291 hinter mir, aber das dem so ist, hätte ich noch nicht gehört. Das heißt keiner von euch hat sichere dynamische updates auf der reverse lookup zone? Nein, das stimmt nicht. Clients (= > 2000, wenn sie Mitglied der Domäne sind) können sich natürlich auch selbst in der Reverse Zone registrieren, auch wenn sie per DHCP die Adresse bekommen. Die Gruppe DnsUpdateProxy kann nur mit Zusatzkonfiguration überhaupt in einer AD-integrierten Zone, die ausschliesslich sichere Updates zulässt, benutzt werden. Da diese Updates grundsätzlich unsicher sind, müssen in solch einer Zone dem entsprechenden DHCP-Server Anmeldeinformationen zur Verfügung gestellt werden, mit denen er in den Zonen registrieren kann. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Moin, Dann gibt es da noch die Gruppe "DNSUpdateProxy". Da muss der DHCP-Server dann auch noch Mitglied sein. Dann klappt's auch mit den sicheren Updates.:D die Gruppe "DNSUpdateProxy" sollte unter Windows Server 2003 nicht genutzt werden. Diese wurde unter Windows 2000 eingeführt, da es dort nicht die Möglichkeit gab, ein dediziertes Benutzerkonto unter dem die DNS-Updates durchgeführt werden sollten anzugeben, wie es unter Windows Server 2003 möglich ist. Unter Windows Server 2003 sollte ein dediziertes Domänen-Benutzerkonto erstellt werden, der im DHCP eingetragen wird. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Moin, die Gruppe "DNSUpdateProxy" sollte unter Windows Server 2003 nicht genutzt werden. Diese wurde unter Windows 2000 eingeführt, da es dort nicht die Möglichkeit gab, ein dediziertes Benutzerkonto unter dem die DNS-Updates durchgeführt werden sollten anzugeben, wie es unter Windows Server 2003 möglich ist. Unter Windows Server 2003 sollte ein dediziertes Domänen-Benutzerkonto erstellt werden, der im DHCP eingetragen wird. Die Gruppe wird unter bestimmten Umständen auch bei 2003 empfohlen. Damit dann aber bei Benutzung der Gruppe das mit den Secure Updates klappt, sollte ein zusätzlicher Account im DHCP eingetragen werden. Hier ist genaueres dazu zu finden: Microsoft Corporation How to configure DNS dynamic updates in Windows Server 2003 grizzly999 Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Buenos tardes, Die Gruppe wird unter bestimmten Umständen auch bei 2003 empfohlen. Damit dann aber bei Benutzung der Gruppe das mit den Secure Updates klappt, sollte ein zusätzlicher Account im DHCP eingetragen werden. Hier ist genaueres dazu zu finden: trotzdem verharre ich weiter und bin anderer Meinung (wie Südländer eben so sind). ;-) Die MS-Artikel die du nennst sind mir samt allen anderen x Artikeln bezgl. der Gruppe DNSUpdateProxy bekannt. Überall steht gerade in Bezug auf DNSUpdateProxy das ganze eher verwirrend drin, wie ich finde. Rollen wir das ganze doch von vorne auf. Die Gruppe DNSUpdateProxy wurde zu Zeiten Windows 2000 eingeführt, da damals auch noch nicht die Möglichkeit bestand ein dediziertes Konto im DHCP zu hinterlegen, dass für das DDNS-Update verwendet werden konnte und man sich der Gefahr die sich daraus ergab nicht bewußt war. Das Problem stellt bezgl. des ADs das DNS dar, sei es, dass unsichere oder aber auch nur sichere DDNS Updates erlaubt werden. Fakt ist, dass DNS stellt einfach ein (sei es ein großes oder kleines) Sicherheitsrisiko dar. Sicherheitsfanatiker sehen es als vertretbar, lediglich das DNS zusätzlich auf einem DC zu installieren, nicht aber das DHCP. Denn umso weniger Dienste auf einem DC laufen, desto weniger bietet sich dem Angreifer eine Angriffsfläche dar. Das Problem das mit dem DHCP auf einem DC im Zusammenhang mit dem DDNS besteht wäre folgendes: Der DHCP-Server der auf einem DC installiert wurde, sollte eigentlich nur die Einträge verändern/entfernen können, die er verständlicherweise auch selbst angelegt hat. Auf einem DC kann der DHCP aber alle Einträge bearbeiten, weil die Privilegien von dem Konto LOCALSYSTEM es ihm erlauben. Wenn nun also ein Client mit dem Namen TEST vom DHCP-Server eine DHCP-Adresse anfordert und der DHCP-Server so konfiguriert ist, das DDNS-Update durchzuführen, überschreibt dieser ggf. den vorherigen Eintrag TEST. Das ist aber doof, wenn das DDNS-Update von einem Server durchgeführt werden soll - das Ergebnis einer DoS, ggf. auch einer Man-in-the-Middle Attacke ist. Dieser Artikel beschreibt das Problem mit dem DHCP auf einem DC: Installing Dynamic Host Configuration Protocol (DHCP) and Domain Name System (DNS) on a Domain Controller Fakt ist, dass DNS ist mit sicheren oder unsicheren DDNS-Updates so oder so nicht sicher. Worauf ich nun hinaus möchte; In den MS-Artikeln wird das Sicherheitsproblem mit der Gruppe DNSUpdateProxy überall beschrieben und das zusätzlich ein dediziertes Benutzerkonto hinzugefügt werden soll. Da kann ich nur sagen, dann nutze ich die Gruppe DNSUpdateProxy erst garnicht und füge trotzdem ein dediziertes Domänen-Benutzerkonto im DHCP hinzu, das für das DDNS im DHCP hinterlegt und genutzt werden kann. Somit geht mir der Eigentümer der DNS-Einträge bei einem DHCP-Server crash nicht verloren. Dieses dedizierte Konto kann ich dann auf weitere DHCP-Server in der Domäne hinterlegen. Das sind meine zwei türkische Lira dazu ;) . Zitieren Link zu diesem Kommentar
Lian 2.422 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Einer der Gründe für die Existenz der Gruppe ist u.a. das Failover Clustering: Follow up discussion on the DNSUpdateProxy-Group - Directory Services/Active Directory In den Prüfungen wird jedenfalls noch danach gefragt (zB. 70-296) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 4. April 2008 Melden Teilen Geschrieben 4. April 2008 Nur damit ich nicht falsch verstanden werden, ich behaupte nicht das die Gruppe DNSUpdateProxy überflüssig ist. Wie Ulf es in seinem Artikel erläutert gibt es durchaus Situationen in denen diese Gruppe ihre Verwendung findet. Aber sie sollte nicht in meinem geschilderten Fall (DHCP auf einem DC der DDNS durchführt) verwendet werden, was auch nicht notwendig ist. Siehe: DHCP, DNS and the DNSUpdateProxy-Group - Directory Services/Active Directory Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 5. April 2008 Autor Melden Teilen Geschrieben 5. April 2008 hey hey... danke für die vielen posts, aber die gruppe dnsupdateproxy nütze ich eh nicht. ich will einfach, dass die client, die vom DHCP eine adresse bekommen, ihre PTR records genau so eintragen wie die clients, die eine fixe IP haben ;) ich komm einfach nicht weiter damit... RSOP zeigt, dass ich nix definiert habe per GPO und falsche DHCP options hab ich auch schon gecheckt (weil es ja bei den fix-IP-Clients funzt) und überhaupt wieso gehen nur unsichere updates? ...das gefällt mir gar nicht :D Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 5. April 2008 Melden Teilen Geschrieben 5. April 2008 Das sollten sie von selbst tun, wenn der DHCP-Server es nicht für sie macht. Installiere mal einen Sniffer und beonachte das Verhalten eines Clients, der IPCONFIG /RELEASE und IPCONFIG /RENEW durchführt ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.