mithrandir144 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Hallo zusammen Bin gerade im Selbststudium mir den MCSE am aneignen (Geschäft hat kein Geld dafür). Ich "übe" dabei mit den grünen Büchern von Microsoft. Das Forum hat mir beim durchsehen von Beiträgen schon oft geholfen, doch diesmal habe ich keinen entsprechenden gefunden. Meine Fragen betrifft den DNS-Update-Proxy, welcher gemäss dem grünen Buch (p. 393-395) NICHT auf einem DC installiert werden soll, da die dynamischen Updates "nicht sicher sind". Habe dazu folgende Fragen: 1. Microsoft empfiehlt, die AD-Gruppe DnsUpdateProxy zu nutzen, wenn mehrere DHCP-Server eingesetzt werden (Nur der erste Server, welcher einen DNS-Eintrag macht, wird als owner anerkannt. Fällt dieser DHCP-Server aus, und bekommt der Client einen Lease vom zweiten DHCP-Server kann dieser den DNS-Eintrag nicht erneuern ). Die entsprechenden Server sollen der Gruppe hinzugefügt werden, diese Gruppe ist allerdings eine Benutzergruppe, wie soll das funktionieren? 2. Wieso soll der DHCP-Server nicht auf dem DC installiert werden? welche grössere Gefahr entsteht daraus? Habe die Seiten mehrmals gelesen, aber ich sehs einfach nicht. Danke für euere Hilfe Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Benutzergruppe ? Das ist eine Gruppe, die auch Computerkonten enthalten. Gerade in diese Gruppe sollen keine Benutzerkonten ... How to configure DNS dynamic updates in Windows Server 2003 Zitat aus obigem Artikel "When the DHCP Server service is installed on a domain controller, you can configure the DHCP server by using the credentials of the dedicated user account to prevent the server from inheriting, and possibly misusing, the power of the domain controller. When the DHCP Server service is installed on a domain controller, it inherits the security permissions of the domain controller. The service also has the authority to update or delete any DNS record that is registered in a secure Active Directory-integrated zone. (This includes records that were securely registered by other Windows 2000-based or Windows Server 2003-based computers, and by domain controllers.)" Zitieren Link zu diesem Kommentar
mithrandir144 10 Geschrieben 13. April 2007 Autor Melden Teilen Geschrieben 13. April 2007 Danke für deinen Link! Dort steht nämlich auch: To help protect against nonsecure records or to enable members of the DnsUpdateProxy group to register records in zones that enable only secured dynamic updates, follow these steps: 1. Create a dedicated user account. 2. Configure DHCP servers to perform DNS dynamic updates with the user account credentials. (These credentials are the user name, the password, and the domain.) The credentials of one dedicated user account can be used by multiple DHCP servers. Habe anschliessend auf dem erweiterten Tab im DHCP-Fenster auch den Ort gefunden, an welchem der Benutzer eingetragen werden kann. Die Antwort auf meine zweite Frage wäre dann wohl, dass wenn der DHCP-Service auf dem DC-Server läuft, er dadurch womöglich andere, unter anderem statische DNS-Einträge löschen kann, oder? Finde ich allerdings ziemlich unwahrscheinlich, denn der DHCP wird ja nur DNS-Einträge aus seinem Range verändern und dort sollten keine statischen Einträge vorhanden sein... Zitieren Link zu diesem Kommentar
trueZEUS 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Hallo Vielleicht kann ich dir ja helfen das ganze besser zu verstehen. So funktioniert es also: DHCP kann standardmäßig DNS automatisch updaten, dieses update ist aber standardmäßig auf den PTR (Pointer) Eintrag beschränkt, den A (Host) Eintrage macht der Client selbst. Somit wurde der DHCP Server Besitzer des Eintrages im DNS von AD (Upates im AD sind unter w2tk3 Server übrigens immer sicher). Fiel dieser Server einmal aus und wurde durch einen anderen DHCP Server ersetzt konnte dieser nicht den Eintrag übernehmen da er nicht Besitzer war. Mit der Gruppe DnsUpdateProxy wurde eine Gruppe geschaffen um dies zu vermeiden da jedes Mitglied dieser Gruppe Einträge übernehmen kann sollte er für einen anderen ersetzt werden. Wird nun ein neuer DHCP Server eingesetzt der einen anderen ersetzt kann dieser Einträge erneuern die früher einfach nicht mehr zu Verfügung standen wenn die Leasedauer abgelaufen war. Ich hoffe das hilft dir ein wenig weiter lg Zitieren Link zu diesem Kommentar
mithrandir144 10 Geschrieben 13. April 2007 Autor Melden Teilen Geschrieben 13. April 2007 Danke für deine Erklärung, soweit ist es für mich klar. Ich bin nur noch nicht ganz sicher, ob ich das mit dem Problem mit dem DHCP und dem DC verstanden habe, welches anscheinend ein Sicherheitsproblem darstellen kann (allerdings nur gemäss dem grünen Microsoft Buch, gemäss dem Artikel im Internet von ITHome ist nichts davon erwähnt). Das Problem entsteht dadurch, dass wenn der DHCP auf dem DC läuft, er auch gleich die Berechtigung erhält, schon vorhandene (auch statische) Einträge im DNS zu überschreiben. Dies würde nicht vorkommen, wenn der DHCP auf einem anderen Server (server02) läuft und die Änderungsanfrage an den DC (server01) schickt, auf welchem der DNS läuft (wohl auch server01), aus welchem Grund auch immer. Falls mir jemand dies mit OK bestätigt, wäre das schon mal gut, ich nehme es einfach zur Kenntnis, dass es so ist. Falls sich es sich um eine Fehlinfo im grünen Buch handelt oder das Problem durch einen Hotfix behoben wurde wäre ich froh um ein entsprechendes Feedback. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Läuft der DHCP-Server auf dem DC , hat der DHCP-Server Berechtigungen auf SÄMTLICHE Einträge, die im DNS registriert werden, auch auf die, die er nicht selbst registriert hat (DCs zum Beispiel), da der DHCP-Serverdienst mit den Berechtigungen des Computerkontos des DCs läuft. Bei einer erfolgreichen Attacke auf den DHCP-Server können also sämtliche Einträge manipuliert und z.B. umgeleitet werden. Konfiguriert man allerdings ein Benutzerkonto für die Registrierung, hat der DHCP-Server nicht mehr die Berechtigungen des Computerkontos des DCs, kann also nicht mehr alle Einträge verändern, sondern nur noch die, die er selbst erstellt hat (mit den eingegebenen Benutzerdaten). Und das steht in dem von mir geposteten Artikel und in dem geposteten Zitat ... Die Gruppe DnsUpdateProxy, in der sich u.U. DHCP-Server Konten befinden, bewirkt, dass die Registrierungen, die ein DHCP Server im Auftrag eines Clients durchführt, nicht sicher sind, da sich der DHCP-Server nicht als Besitzer einträgt (funktioniert nicht bei nur sicheren Updates in Active Directory integrierten Zonen). Um diese normalerweise nicht sicheren Updates sicher zu machen und sie auch in einer Active Directory integrierten Zone nutzen zu können, die nur sichere Updates zulässt, kann man auch für diesen Zweck ein Benutzerkonto definieren, mit dem registriert wird. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.