Secure Dynamic Update

قابلیت Dynamic Update سبب می گردد که DNS Client ها بتوانند Resource Record های خود را ثبت و هر زمانی که تغییری اتفاق می افتد به روز کنند. این امر سبب می گردد تا نیاز به مدیریت دستی record ها حداقل گردد. به منظور امکان Dynamic Update لازم است هم DNS Client هم DNS Server از از RFC 2136 پشتیبانی کنند. Microsoft DNS Server این امکان را فراهم می آورد تا برای هر Zone به صورت مجزا قابل فعال/غیرفعال کردن باشد و به صورت پیش فرض، کامپیوتر هایی که تنظیمات TCP/IP آن ها به صورت Static اعمال شده است اقدام به ثبت Resource Record ها می کنند، به استثنای موارد زیر:

روی کانکشن های Remote Access Service (RAS)  یا virtual private network (VPN) به صورت پیش فرض غیرفعال است.

برای top-level domain (TLD) zones به صورت پیش فرض Client برای ثبت Resource Record (RR) ها تلاش نمی کند. هر Zone که داری یک بخش نام باشد TLD در نظر گرفته می شود. همانند Edu, Com, my-company

به صورت پیش فرض، Primary DNS Suffix برای Client نام Active Directory Domain ای می باشد که به آن join شده است. به منظور استفاده از Suffix متفاوت Domain Admin می تواند یک لیست از Suffix های مجاز را در msDS-AllowedDNSSuffixes attribute معین کند.

علاوه بر آن، این امکان وجود دارد تا DHCP Server به جای Client اقدام به ثبت RR ها کند. در این صورت RR های مربوط به DHCP-enabled client توسط DHCP Server ثبت می گردد. برای این منظور لازم است DHCP Option 81, FQDN option معین شده باشد. در این صورت؛ Client در DHCPREQUEST packet با توجه به datagram زیر FQDN خود را ارسال می کند.

Code — Specifies the code for this option (81).

Len — Specifies the length of this option. (This must be a minimum of 4.)

Flags — Specifies the type of service.

۰ — Client will register the “A” (Host) record.

۱ — Client wants DHCP to register the “A” (Host) record.

۳ — DHCP will register the “A” (Host) record regardless of the client’s request

RCODE1 — Specifies a response code the server is sending to the client.

RCODE2 — Specifies an additional delineation of RCODE1.

Domain Name — Specifies the FQDN of the client.

اگر Client بر اساس RFC 2136، درخواست دهد تا Resource Record های مربوطه را ثبت کند، آنگاه Client مسئولیت Dynamic Update را خواهد داشت و DHCP فقط PTR (pointer) record را register می کند.

DNS Update Security تنها برای Active Directory Integrated Zone امکان پذیر است. در این حالت قابلیت ویرایش ACL در دسترس قرار می گیرد. به صورت پیش فرض؛ Dynamic Update به ترتیب زیر عمل می نماید:

کلاینت تلاش می کند تا به صورت nonsecure dynamic update عمل کند. اگر nonsecure مورد پذیرش نباشد، کلاینت تلاش می کند تا secure update انجام گردد.  همچنین کلاینت ها از default update policy استفاده می کنند که به آن ها اجازه می دهد یک RR که قبلا ثبت شده است را overwrite کنند، مگر آنکه توسط update security منع (blocked) شده باشد.

به صورت پیش فرض، پس از آنکه یک Zone به صورت Active-Directory integrated در آید؛ تنها از Secure Update پشتیبانی می کند.

اگر از چند DHCP Server در محیط استفاده می کنید و Zone در وضعیت Secure Dynamic Update Only قرار دارد، لازم است کامپیوتر اکانت های DHCP Server ها را به گروه built-in، DnsUpdateProxy اضافه کنید. در این صورت هر یک از DHCP Server ها حق Proxy Update برای هر یک از DHCP Client ها را خواهند داشت.

اگر یکی از گزاره های زیر درست باشد، عملکرد Dynamic Update ممکن است compromised گردد.

DHCP Server روی یک Domain Controller قرار داشته باشد.

DHCP Server ها تنظیم شده باشند تا Registration رکورد های DNS را به نیابت از Client ها انجام دهند.

به منظور جلوگیری از این منظور، DHCP Server ها و Domain Controller ها را روی کامپیوتر های جداگانه Deploy کنید و از یک اکانت اختصاصی برای DHCP Server به منظور Dynamic Update ایجاد کنید.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *