soulseeker 13 Geschrieben 7. August 2018 Melden Teilen Geschrieben 7. August 2018 Hallo zusammen, ich muss leider nochmal mit einer Frage nerven :) Ich habe vor kurzem unseren DNS-Server von bind zu Windows migriert, da gab es das unschöne Problem, dass sich alles und jeder im DNS registriert hat und die Einträge direkt "statisch" waren. Das sind sie unschönerweise auch nach der Migration, weshalb ich derzeit damit beschäftigt bin, die alten statischen Einträge aufzuräumen. Dabei habe ich festgestellt, dass Androids und Iphones sich immer noch selbst registrieren können (dann aber dynamisch) und das gefällt mir nicht wirklich. Zwischen unser Client-Nomenklator steht dann android_1234 und lieschenmüllers_iphone. Wir haben derzeit noch kein separaten Scope für Mobile devices. Im DNS ist "nur sichere" aktiv. Im DHCP ist dynamische Registrierung jedoch erlaubt. Ich hatte eigentlich erwartet, dass sich trotzdem nur Domänenmitglieder dynamisch registrieren können, aber da im DHCP Option15 mit Domänensuffix gesetzt wird, reicht das wohl aus, um einen Client als "sicher" einzustufen. Mich würde mal interessieren, wie ihr sowas verhindert. Mir fallen jetzt nur folgende Möglichkeiten ein: 1. Separates VLAN für mobile devices mit eigenem DHCP-Scope ohne Option15/dynamische Registrierung 2. Dynamische DNS-Aktualisierung für den WLAN-Scope ausschalten und auf die Option "Adressen dieser Verbindung in DNS registrieren" im Windows-Netzwerkadapter vertrauen Viele Grüße Marcel Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 7. August 2018 Melden Teilen Geschrieben 7. August 2018 Hi, die nicht AD-Clients registrieren sich da du vermutlich den DHCP so konfiguriert hast. Schau mal unter IPv4 -> Eigenschaften -> Erweitert -> Anmeldeinformationen... bzw. auch in der DNS Registerkarte. 1. und 2. würde ich unter Umständen alleine schon wegen der Lizenzierung in Betracht ziehen und dann direkt einen nicht Windows DHCP nutzen. Das käme aber auch drauf an, wer das WLAN so alles nutzt und / oder ob Ihr User oder Device CALs nutzt. Gruß Jan Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 7. August 2018 Melden Teilen Geschrieben 7. August 2018 Wenn die Geräte ins Netz dürfen sehe ich keinen Grund das zu verhindern. Wer im Netz ist soll auch per DNS aufgelöst werden. Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 7. August 2018 Autor Melden Teilen Geschrieben 7. August 2018 Hi, ja, DHCP ist derzeit so konfiguriert ... und wir nutzen User Cals. Ich muss jetzt nicht zwingend Androids und Iphones im DNS auflösen, daher meine Frage, wie ihr das mit der DHCP-DNS-Aktualisierung so haltet. Ich denke mal, wenn ich für den gesamten WLAN-Scope die dynamische Aktualisierung abschalte, bin ich schon mal einen Schritt weiter ... die Windows-Devices dürften sich dann ja trotzdem noch über die Nic-Einstellung im DNS registrieren. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 7. August 2018 Melden Teilen Geschrieben 7. August 2018 Hi, ich denke, der Artikel hilft dir bzgl. DNS Registrierung / DHCP weiter: https://www.faq-o-matic.net/2015/04/08/die-ad-dns-zone-sicher-konfigurieren/ Gruß Jan Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 7. August 2018 Autor Melden Teilen Geschrieben 7. August 2018 Hi, danke, interessanter Artikel ... Im wesentlichen ist es ja schon so konfiguriert, außer das im DHCP die DNS-Option derzeit auf "immer aktualisieren" steht. Ich vermute mal, dass Iphones und Androids beim DHCP-Server ohnehin eine Aktualisierung anfordern werden, so dass ich damit nicht viel gewinnen werde. Mein "Haupt-Problem" sind ohnehin die abertausende an alten statischen Einträgen, die ich nur manuell löschen kann. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 7. August 2018 Melden Teilen Geschrieben 7. August 2018 Einfach alles löschen und warten was sich wieder einträgt. Wo ist da das Problem? Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 7. August 2018 Autor Melden Teilen Geschrieben 7. August 2018 Naja, evtl. kurzzeitige Serviceunterbrechungen, wenn irgendwas kurz mal nicht per DNS erreichbar ist. Außerdem kann ich nicht immer unterscheiden, ob es sich um einen "echten" statischen DNS-Eintrag handelt, oder es ein "statischer Bind-Eintrag" ist, der aber eigentlich ein dynamischer sein sollte und der wieder von selber auftaucht. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 7. August 2018 Melden Teilen Geschrieben 7. August 2018 (bearbeitet) Naja deine Server wirst du namentlich ja erkennen und kannst auf ein Löschen dieser verzichten. Alle PCs sind eher unkritisch. Ein Statischer Eintrag steht statisch drin. Ein dynamischer hat einen Zeitstempel. ;) bearbeitet 7. August 2018 von NorbertFe Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 7. August 2018 Autor Melden Teilen Geschrieben 7. August 2018 Da hast du grundsätzlich recht ... aber es gibt hier auch jede Menge IP-Telefone, Accesspoints etc bei denen ich nicht genau weiß, ob diese nicht evtl. doch gerne über DNS kommunizieren möchten. Außerdem evtl. noch den ein oder anderen A-record, der mal manuell erstellt wurde (für was auch immer). Ich bin da lieber etwas vorsichtig :). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.