ডিএইচসিপি থেকে সর্বদা ডিএনএস আপডেট করার কোনও খারাপ দিক রয়েছে কি?

13

আমি ডিএনএস এবং ডিএইচসিপি সার্ভারগুলিতে চলমান একটি উইন্ডোজ 2012 ডোমেন কন্ট্রোলার পেয়েছি। ডিফল্ট সেটিংটি ডিএনসিপি ক্লায়েন্টদের দ্বারা অনুরোধ করা হলে কেবল ডাইনামিকভাবে ডিএনএস এ এবং পিটিআর রেকর্ডগুলি আপডেট করে বলে মনে হয় ।

(এটি এর অধীনে Scope Properties-> DNS)

সর্বদা ডিএনএস এ এবং পিটিআর রেকর্ডগুলি গতিশীলভাবে আপডেট করার জন্য নির্বাচন করার কোনও প্রতিকূলতা নেই ?

ডিএইচসিপি ক্লায়েন্টদের জন্য ডিএনএস এ এবং পিটিআর রেকর্ডগুলি আপডেট করার অনুরোধ করেনি (উদাহরণস্বরূপ, উইন্ডোজ এনটি 4.0 পরিচালিত ক্লায়েন্ট) ডায়নামিকভাবে আপডেট করুন এবং এর মধ্যে পার্থক্য কী ?

domain-name-system  windows-server-2012  dhcp 
রজার লিপসকম
সূত্র

উত্তর:

8

সর্বদা ডিএনএস এ এবং পিটিআর রেকর্ডগুলি গতিশীলভাবে আপডেট করার জন্য নির্বাচন করার কোনও প্রতিকূলতা নেই?

এটি আপনি কী করতে চান তার উপর নির্ভর করে।

ডিফল্টরূপে, একটি উইন্ডোজ মেশিন সরাসরি ডিএনএসের সাথে কথা বলবে এবং নিজস্ব Aরেকর্ড আপডেট করবে এবং এটি ডিএইচসিপিকে PTRরেকর্ডটি আপডেট করতে বলবে ।

সক্ষম করা হলে সর্বদা পরিবর্তনশীল DNS আপডেট Aএবং PTRরেকর্ড আপনি উভয় রেকর্ড আপডেট করার জন্য এমনকি যদি ক্লায়েন্ট শুধু এটা আপডেট করার জন্য জিজ্ঞেস করল, DHCP বলছেন PTR

ডিএইচসিপি ক্লায়েন্টদের যে আপডেটগুলির অনুরোধ করে না ... "এর মধ্যে কী পার্থক্য রয়েছে?"

এনটি 4.0 উদাহরণটি আজকাল তেমন প্রাসঙ্গিক নয়, সুতরাং আপনার উইন্ডোজ এবং ম্যাক (বা লিনাক্স) ক্লায়েন্ট রয়েছে এমন একটি মিশ্র পরিবেশ বিবেচনা করুন।

উইন্ডোজ মেশিনগুলি তাদের ডায়নামিক ডিএনএস আপডেটগুলি পরিচালনা করে (বা তারা ডিএইচসিপি এটি করতে বলে)।

তবে ম্যাক / লিনাক্স ক্লায়েন্টরা তা করে না। এই বিকল্পটি ডিএইচসিপিকে এই মেশিনগুলির জন্য রেকর্ড তৈরি করতে দেয় যা গতিশীল ডিএনএস আপডেটগুলির অনুরোধ করে না বা করতে পারে না।

কিছু বিষয় বিবেচনা করুন:

  • গতিশীল ডিএনএস আপডেটগুলির জন্য ডিএইচসিপি ব্যবহার করার জন্য আপনার একটি উত্সর্গীকৃত, অ-সুবিধাযুক্ত এডি ব্যবহারকারী অ্যাকাউন্ট তৈরি করা উচিত এবং এটি ডিএনএসপিডেটপ্রক্সি গ্রুপে যুক্ত করা উচিত (এটি বিশেষত গুরুত্বপূর্ণ যদি ডিএইচসিপি কোনও ডোমেন নিয়ামককে চালিত করে)।
  • আপনি কোনও রিজার্ভেশন সেট আপ করলেও ডিএইচসিপি সর্বদা ক্লায়েন্টের দ্বারা প্রতিবেদন করা নামটি নিবন্ধভুক্ত করে। ক্লায়েন্ট যদি আপনি রিজার্ভেশনে সেট করেছেন তার চেয়ে আলাদা কোনও নাম রিপোর্ট করে তবে রিজার্ভেশনটির নাম ওভাররাইট করা হবে।
  • DHCP এর মাধ্যমে গতিশীল ডিএনএস রেকর্ডগুলিতে একটি টাইমস্ট্যাম্প সেট থাকবে। এই রেকর্ডগুলি মুছে ফেলার জন্য আপনার সঠিকভাবে ডিএনএস স্ক্যাভেঞ্জিং সেট আপ করা উচিত, যদিও লিজের মেয়াদ শেষ হওয়ার পরে আপনার কাছে ডিএইচসিপি রেকর্ডগুলি সরিয়ে দেওয়ার জন্য সেট করা আছে (এটি থাকা ভাল, তবে এমন অনেকগুলি ঘটনা রয়েছে যেখানে এটি ঘটে না)।
briantist
সূত্র
আমি মনে করি আপনি এটি পেরেক দিয়েছিলেন। আমি সাধারণত প্রতি 24 ঘন্টা জোনে স্ক্যাভেঞ্জিং সেট করি, এটি অঞ্চলগুলি সুন্দর এবং আঁটসাঁট করে রাখে।
নাগরিক
1
"সর্বদা ডিএনএস এ এবং পিটিআর রেকর্ডগুলিকে গতিশীলভাবে আপডেট করে আপনি ডিএইচসিপিকে উভয় রেকর্ড আপডেট করতে বলছেন এমনকি ক্লায়েন্ট কেবলমাত্র পিটিআর আপডেট করতে বললে।" ... আর একটা হল downside হয় এই কাজ কিভাবে?
রজার লিপসক্বে
@ রাজার লিপসকম্বে এমন কোনও জেনেরিক খারাপ দিক নেই যা আমি ভাবতে পারি, তবে আপনার পরিস্থিতির কোনও খারাপ দিক রয়েছে কিনা তা আমি সত্যিই বলতে পারি না। আমি অনুভব করেছি যে প্রভাবটি ব্যাখ্যা করা আপনাকে আপনার পরিবেশের জন্য সেই দৃ determination় সংকল্প তৈরি করতে দেয়।
ব্রিটিশবাদী
"ক্লায়েন্ট যদি আপনি রিজার্ভেশনে সেট করেছেন তার চেয়ে আলাদা কোনও নাম রিপোর্ট করে তবে রিজার্ভেশনটির নাম ওভাররাইট করা হবে।" আমি কোনও রিজার্ভেশনে যেকোন পরিবর্তনকে ডাউনসাইড বলব। আমরা সারাক্ষণ রিজার্ভেশনগুলি হারাচ্ছি, ভাবছি যে বিশেষ ব্যবহারকারী কেবল রিজার্ভেশনটির নাম পরিবর্তন করার চেয়ে আরও কিছু করছেন?
rjt
0

DnsUpdateProxy গ্রুপ ব্যবহার সম্পর্কে, এটি আমার বুঝতে হবে যে কেবলমাত্র DHCP সার্ভারগুলি সেই গোষ্ঠীর সদস্য হওয়া উচিত, গতিশীল ডিএনএস আপডেট ব্যবহারকারী নয়। ব্যবহারকারী অ্যাকাউন্টটি ডিএনএসপিপি সার্ভার কনফিগারেশনে যুক্ত করার কথা, ডিএনএসপিডেটপ্রক্সি গ্রুপে নয়।

DnsUpdateProxy গ্রুপটি ডিএনএস ক্লায়েন্টদের জন্য। ব্যবহারকারী কোনও ক্লায়েন্ট নয়, ডিএনএসে ডায়নামিক আপডেট করার জন্য ক্লায়েন্ট (ডিএইচসিপি সার্ভার) দ্বারা ব্যবহৃত একটি প্রক্রিয়া যখন আপনার কেবল সুরক্ষিত আপডেটগুলি চালু থাকে। ক্লায়েন্টটি ডিএইচসিপি সার্ভার থেকে যায়।

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

ডিএইচসিপি সার্ভারটি ডিসি-তে থাকা অবস্থায়, গ্রুপটির সার্ভার সদস্য তৈরি করা এবং ব্যবহারকারীকে ডিএইচসিপি কনফিগারেশনে যুক্ত করার পাশাপাশি, আপনাকে ওপেনএকএলএনপ্রক্সি আপডেটগুলিও বন্ধ করতে হবে। আপনি যদি দুর্বলতা যোগ না করেন তবে DnsUpdateProxy গ্রুপে সদস্যতা ডিএনএস রেকর্ডগুলির উপর অত্যধিক কর্তৃত্ব দেয়।

কিছু স্কুল চিন্তাভাবনা করে যে ডিসি-তে থাকা ডিএইচসিপি ডিএনএসপিডেটপ্রক্সির সদস্য না হওয়া উচিত এবং কেবল ডিএনসিপি-তে ডিএনএস আপডেট ব্যবহারকারী নিযুক্ত করা উচিত। এটি পুরানো উইন্ডোজ সার্ভারের ক্ষেত্রে সত্য হতে পারে তবে 2012R2 এবং তার পরে, টেক ডকস থেকে আমার যে ধারণাটি এসেছে তা হ'ল সার্ভারটি এখনও ডিএনএসপিডেটপ্রক্সি গ্রুপে থাকা উচিত, তবে ডিসি হওয়ার কারণে সেই গোষ্ঠী সদস্যতার অনুমতিটি দুর্বলতা উন্মুক্ত করে।

সুতরাং, যদি আপনার সুরক্ষিত গতিশীল ডিএনএস আপডেট সক্ষম করে কোনও ডিসিতে ডিএইচসিপি থাকে, আপনার ডি সি সি-তে যে কমান্ডটি চলছে তা ডিএইচসিপি চালানো উচিত, সুতরাং এর ডিএনএস "বিদেশী" আপডেটগুলি ডিএইচসিপি-র মালিকানাধীন রেকর্ড পরিবর্তন করতে দেয় না:

ডিএনএসসিএমডি / কনফিগার / ওপেনক্লোনঅনপ্রক্সি আপডেটস 0

নীচের লাইন - DnsUpdateProxy গ্রুপটি কোনও ব্যবহারকারীর অবজেক্টের জন্য নয় - এটি কেবলমাত্র DHCP সার্ভার অবজেক্ট (DHCP ক্লায়েন্ট) এর জন্য ব্যবহার করা উচিত এবং এটি প্রাথমিকভাবে আপনার DHCP সার্ভারকে একটি নন-ডিসি সার্ভারে রাখার "সেরা অনুশীলনগুলি" করার জন্য করা হয়, গতিশীলভাবে ডিএনএস আপডেট করার জন্য প্রয়োজনীয় অনুমতিগুলি সরবরাহ করুন। সেই গোষ্ঠীতে সুরক্ষিত আপডেট ব্যবহারকারী যুক্ত করা কোনও উদ্দেশ্য করে না।

JimS
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.