Tags: Sicherheit, Active Directory, Netzwerk, DNS
DNS ist ein Dienst, der im Kern lediglich aus einer Datenbank mit Hosts und deren Eigenschaften, vor allem deren IP-Nummern besteht. Ob er korrekt konfiguriert und abgesichert ist, entscheidet über aber Wohl oder Wehe der gesamten Netzwerkinfrastruktur: Es handelt sich um einen Dienst mit höchsten Sicherheitsanforderungen. Werden DNS-Updates manipuliert, können Anfragen beliebig umgeleitet und damit ernsthaft Schaden angerichtet werden.
Dynamische Updates per Active Directory
Wenn man den ersten DNS-Server aufsetzt, konfiguriert man auch die primäre Zone. Aus Sicherheits- und Integritätsgründen ist es hier unbedingt ratsam, eine Active-Directory-integrierte Zone zu wählen. So profitiert man – neben Performance- und Redundanz-Vorteilen – automatisch von den Sicherheitsfunktionen des Active Directory.
Eine Active-Directory-integrierte Zone kann man so konfigurieren, dass sie nur sichere dynamische Updates empfangen kann. Das bedeutet, nur Hosts, die im Active Directory registriert sind, haben das Recht dazu und es werden sie Standard-Active-Directory-Replikationsmechanismen dazu benutzt.
Will man diese Einstellungen später ändern, klickt man mit der rechten Maustaste auf die entsprechende DNS-Zone, wähle aus dem Kontextmenü den Punkt Eigenschaften und der Registerkarte Allgemein.
Dynamische Updates per DHCP
Die Alternative zu DNS-Updates per Active Directory ist, dass dies der DHCP-Server beim Vergeben der Lease durchführt. Man kann dieses Verfahren etwa für Nicht-Windows-Hosts anwenden. Damit dies gelingt, müssen die entsprechenden Client-Betriebssysteme dies beim DHCP-Server anfordern.
Tun sie dies nicht, wie es etwa für NT4 und ältere Windows-Versionen der Fall ist, kann man im DHCP-Server konfigurieren, dass er dies dennoch durchführen soll. Dazu klickt man mit der rechten Maustaste auf den Bereichsknoten selbst und wählt aus dessen Kontextmenü den Punkt Eigenschaften. Die gesuchte Option befindet sich auf der Registerkarte DNS.
Lässt man dynamische Updates per DHCP zu, sollte man den Domänen Controller und den DHCP-Server nicht auf der gleichen Maschine betreiben. Der Grund ist ein potentielles Sicherheitsproblem: Vom DHCP-Server vorgenommene Einträge werden mit dessen Zugriffsrechten angelegt, was dazu führt, dass andere DHCP-Server oder Clients sie später nicht mehr überschreiben können, da sie geringere Rechte haben.
Um dieses Problem zu beheben, gibt es die Gruppe DNSUpdateProxy, zu der man die entsprechenden DHCP-Server hinzufügt. Sie beinhaltet gelockerte Zugriffsrechte beim Erstellen von DNS-Updates, so dass andere Server und Clients sie bereits dann überschreiben dürfen, wenn es sich um ein authentifiziertes Active-Directory-Benutzerkonto handelt.
Einen DC will man aber auf keinen Fall in der Gruppe DNSUpdateProxy haben, sonst wären auch dessen per Active-Directory-Authentifizierung vorgenommenen Einträge von jedem Client aus überschreibbar, nicht nur die für veraltete oder exotische Betriebssysteme.
Die Lösung ist, entweder DHCP auf einem anderen Server zu betreiben oder aber, wenn man DHCP auf einem Domänencontroller betreibt, diesem keine dynamischen DNS-Updates zu gestatten. Auch dies konfiguriert man in den Eigenschaften des Bereichsknotens auf der Registerkarte DNS.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- DNS-Zonentransfer und Weiterleitungen absichern
- Lösung für: Es kann keine Verbindung mit einer Domäne oder zum Domain Controller hergestellt werden
- Active Directory: DNS-Zonen vor versehentlichem Löschen schützen
- DNS-Verkürzungsebene im Active Directory konfigurieren
- WSL 2.0.0: Gleiche Netzwerkkonfiguration für Windows und Linux, Verkleinern der VHDX, RAM-Zurückgewinnung
Weitere Links