Jump to content

Berechtigung für Computer DNS Einträge anpassen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir haben folgende Konfig bei uns

- 2 DHCP Server im Failover Betrieb

- DNS Einstellung im DHCP Scope sieht wie folgt aus

image.png.2bb4f858d425f10733db450c56aa7b21.png

- Service Account im DHCP hinterlegt für die DNS Registrierung

 

Bis vor kurzem hatten wir bei den DNS Einstellungen noch "DNS Einträge immer dynamisch aktualisieren" aktiviert und alle Einträge wurden durch den Service Account erstellt und dieser war auch in der ACL eingetragen.

Nun hatten wir folgendes Problem. Unsere VPN Clients erhalten die IP nicht vom internen DHCP, sondern von der Firewall.

Damit haben diese Clients sich immer versucht selber in den DNS Einzutragen und konnten den bestehenden Eintrag nicht ändern, da dort ja der Service Account hinterlegt war. Hat man den DNS Eintrag gelöscht, konnte der Client sich aus dem VPN im DNS eintragen, aber wenn der Client dann wieder im internen LAN war hatten wir wieder das Problem, da dann das Computer Objekt in der ACL vom DNS Eintrag stand und der Service Account diesen nicht ändern konnte. 

 

Deshalb haben wir die Einstellung auf oben geändert, damit die Windows Clients immer ihre DNS Einträge selber vornehmen und damit die Änderung vom VPN und LAN funktioniert.

So richtig sauber läuft das aber nicht, da doch immer mal wieder ein Client vom DHCP Service Account eingetragen wird.

 

Ich habe dann diesen MS Beitrag dazu gefunden.

https://social.technet.microsoft.com/wiki/contents/articles/51810.windows-server-integration-between-dns-and-dhcp.aspx

 

Hier geht es genau um unsere Problematik

Zitat

How to segregate between Case 1 and Case 2 ?

Let's assume there are 5000 existing dynamic records, some of which are updated by the system itself (Case 1) and some of which are updated by the DHCP server (Case 2).

How to segregate this?

One way is to use the first script and get the owner of the record. If the owner is the system itself, the record is registered and will be updated by the system. If the owner is DHCP server, the record is registered and will be updated by DHCP server.

However, if there is confusion, and to avoid any possible outage after securing the zone, the best approach is to configure both permissions.

So in this approach, each dynamic record will have two entries added with full control permission:

  1. The system computer account.
  2. The DHCP user (service) account: “DHCP_Update” in this case.

This is the safest approach, as it will ensure that after securing the zone the record would be updated, no matter who requests the update, system itself or DHCP server. So in this way, we can avoid/minimize any possible outage after changing an existing DNS Zone from non-secure to secure.

If we have to change the security settings for multiple DNS zones which are already in production, the best approach is to change it in one zone, observe the result for few weeks and then proceed for others one by one. In case of any critical issue, the backout plan is to change back the settings from “Secure Only” to “Nonsecure and secure”.

However, the best approach is to secure the zone before going to production, to avoid all these future complexities

 

Genau diese Idee hatte ich auch, es müsste einfach für jeden DNS Eintrag automatisch das Computer Objekt zusätzlich in die ACL eingetragen werden. Dann hätte ich den Service Account und das Computer Objekt in der ACL und der DNS Eintrag könnte aus dem VPN und aus dem LAN vom Client geändert werden.

 

Es wird dort auch ein Script erwähnt, aber das ist leider nicht mehr verfügbar.

Hat von euch jemand eine Idee wie ich das realisieren könnte?

Ein Script wäre zwar ganz nett oder setzt man da die Berechtigung direkt im Schema/DNS, damit neu erstelle Einträge gleich das Computer Objekt in die ACL eingetragen bekommen?

 

Vielen Dank und Grüße

Link zu diesem Kommentar

Noch ein kleines Update

 

Werden die DNS Einträge vom Service Account, der im DHCP hinterlegt ist, eingetragen, werden die DNS Einträge aktualisiert. 

So zum Beispiel wenn ein Notebook von LAN zu WLAN wechselt.

 

Werden die DNS Einträge direkt vom Computer Objekt geschrieben, wird der bestehende DNS Eintrag nicht aktualisiert, sondern man hat 2 Einträge im DNS.

Der DNS Eintrga von einem Notebook hat dann eben einmal die LAN und einmal die WLAN IP im DNS hinterlegt.

 

Ich würde jetzt vermuten, dass es dann ja Zufall ist ob bei der Namensauflösung die WLAN oder LAN IP genommen wird. Oder gibt es da eine Logik?

 

Das ist mir jetzt nur beim testen aufgefallen. Ändert aber nichts daran, dass ich für den VPN das Computer Objekt in der ACL benötige.

Hat da niemand eine Idee, wie man das automatisieren kann, dass automatisch noch das Computer Objekt in der ACL vom DNS Eintrag steht?

 

Ich wäre für Hilfe sehr dankbar :)

Link zu diesem Kommentar
vor 1 Stunde schrieb daabm:

Kann die Firewall das nicht

Du meinst, dass der dhcp der Firewall die dns Einträge im Windows dns vornimmt und man dort den Service Account hinterlegt? 

 

Wir setzen fortigate ein und da ist mir aktuell nichts bekannt. Aber guter Hinweis, wir werden bei fortinet mal ein Ticket dazu eröffnen. 

 

 

Kann jemand bestätigen, dass es normal ist das mehrere dns Einträge von demselben Client erstellt werden, wenn der Client selber die dns Einträge vornimmt? 

 

Ich frage mich nur, wie dann die Namensauflösung funktioniert. 

 

Das Verhalten ist aktuell wie folgt. 

Client ist mit LAN und später mit WLAN verbunden. Im dns steht der Client dann zweimal drin, einmal mit der LAN IP und dann nochmal mit der wlan IP.

 

Nun ist der Client wieder mit LAN verbunden. Ich habe von 3 clients einen ping auf den Namen ausgeführt, wurden alle korrekt aufgelöst. 

Gibt es eine Logik die prüft welcher von den beiden dns Einträgen aktuell/ erreichbar ist? Kann ich mir eigentlich nicht vorstellen. Aber war es dann nur Zufall, dass alle 3 Tests richtig aufgelöst haben? 

 

Ich hätte erwartet, dass per Zufall zwischen den beiden dns Einträgen gewählt wird und man löst der dns auf die aktuelle IP auf und mal nicht. 

Link zu diesem Kommentar

Moin,

 

vor 17 Minuten schrieb daabm:

Ping ist kein valider Test - Du mußt schon nslookup/Resolve-DnsName verwenden.

das kommt sehr darauf an, was man denn testet. Das müsste der TO vermutlich auch noch mal für sich klären.

nslookup etwa gibt Aufschluss, was im DNS steht, aber nicht darüber, was die Namensauflösung auf dem Client macht. (Ja, ich weiß, du weißt das, aber dem TO ist das evtl. nicht so klar.)

 

Gruß, Nils

 

Link zu diesem Kommentar

Danke euch. 

 

Das der ping auch andere Technik nutzt, war mir im Detail nicht klar. Ich dachte der geht tatsächlich nur über den dns.

Wins und netbios ist bei uns deaktiviert.

 

Das interessante ist ja, wird der dns Eintrag von service Account über den dhcp vorgenommen (dns Einträge immer dynamisch aktualisieren), wird der bestehende dns Eintrag aktualisiert und der Client steht nur einmal im dns mit der jeweiligen IP (LAN oder WLAN).

 

Stellt man am dhcp es so ein (dns Eintrag nur noch Aufforderung von dhcp clients dynamisch aktualisieren) und der Client trägt sich selber ein, dann steht der Client zweimal im dns (einmal mit LAN und einmal mit der WLAN IP).

 

In diesem Fall gibt ein nslookup auch beide Einträge zurück und da frage ich mich eben, ob die korrekte Namensauflösung nur zu 50% funktioniert oder wie entschieden wird welcher dns Eintrag der aktuelle/ korrekte ist. 

 

Wir haben genau deswegen ein Termin mit unserem Consultant. Dachte mir nur, vielleicht hat hier ja schon vorab eine Idee, weil das vielleicht ein bekannte Thema ist. 

 

LG

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...