Dynamische DNS-Updates unter Windows Server 2008 (R2)

    Der Management-Konsole für DNSDNS ist ein Dienst, der im Kern ledig­lich aus einer Daten­bank mit Hosts und deren Eigen­schaften, vor allem deren IP-Nummern besteht. Ob er korrekt konfi­guriert und abge­sichert ist, ent­scheidet über aber Wohl oder Wehe der gesamten Netz­werk­infra­struktur: Es handelt sich um einen Dienst mit höch­sten Sicher­heits­anforderungen. Werden DNS-Updates mani­puliert, können Anfragen beliebig umge­leitet und damit ernst­haft Schaden angerichtet werden.

    Dynamische Updates per Active Directory

    Es ist sehr ratsam, DNS-Updates über Active Directory zu autorisierenWenn man den ersten DNS-Server aufsetzt, konfiguriert man auch die primäre Zone. Aus Sicherheits- und Integritätsgründen ist es hier unbedingt ratsam, eine Active-Directory-integrierte Zone zu wählen. So profitiert man – neben Performance- und Redundanz-Vorteilen – automatisch von den Sicherheitsfunktionen des Active Directory.

    Eine Active-Directory-integrierte Zone kann man so konfigurieren, dass sie nur sichere dynamische Updates empfangen kann. Das bedeutet, nur Hosts, die im Active Directory registriert sind, haben das Recht dazu und es werden sie Standard-Active-Directory-Replikations­mechanismen dazu benutzt.

    Will man diese Einstellungen später ändern, klickt man mit der rechten Maustaste auf die entsprechende DNS-Zone, wähle aus dem Kontextmenü den Punkt Eigenschaften und der Registerkarte Allgemein.

    Dynamische Updates per DHCP

    Die Alternative zu DNS-Updates per Active Directory ist, dass dies der DHCP-Server beim Vergeben der Lease durchführt. Man kann dieses Verfahren etwa für Nicht-Windows-Hosts anwenden. Damit dies gelingt, müssen die entsprechenden Client-Betriebssysteme dies beim DHCP-Server anfordern.

    Die DNS-Einträge für alte und exotische Client-Systeme kann man vom DHCP-Server aktualisieren lassenTun sie dies nicht, wie es etwa für NT4 und ältere Windows-Versionen der Fall ist, kann man im DHCP-Server konfigurieren, dass er dies dennoch durchführen soll. Dazu klickt man mit der rechten Maustaste auf den Bereichsknoten selbst und wählt aus dessen Kontextmenü den Punkt Eigenschaften. Die gesuchte Option befindet sich auf der Registerkarte DNS.

    Lässt man dynamische Updates per DHCP zu, sollte man den Domänen Controller und den DHCP-Server nicht auf der gleichen Maschine betreiben. Der Grund ist ein potentielles Sicherheits­problem: Vom DHCP-Server vorgenommene Einträge werden mit dessen Zugriffsrechten angelegt, was dazu führt, dass andere DHCP-Server oder Clients sie später nicht mehr überschreiben können, da sie geringere Rechte haben.

    Um dieses Problem zu beheben, gibt es die Gruppe DNSUpdateProxy, zu der man die entsprechenden DHCP-Server hinzufügt. Sie beinhaltet gelockerte Zugriffsrechte beim Erstellen von DNS-Updates, so dass andere Server und Clients sie bereits dann überschreiben dürfen, wenn es sich um ein authentifiziertes Active-Directory-Benutzerkonto handelt.

    Einen DC will man aber auf keinen Fall in der Gruppe DNSUpdateProxy haben, sonst wären auch dessen per Active-Directory-Authentifizierung vorge­nommenen Einträge von jedem Client aus über­schreibbar, nicht nur die für veraltete oder exotische Betriebssysteme.

    Die Lösung ist, entweder DHCP auf einem anderen Server zu betreiben oder aber, wenn man DHCP auf einem Domänencontroller betreibt, diesem keine dynamischen DNS-Updates zu gestatten. Auch dies konfiguriert man in den Eigenschaften des Bereichsknotens auf der Registerkarte DNS.

    Keine Kommentare