始终从DHCP更新DNS有不利之处吗？

我有一个运行DNS和DHCP服务器的Windows 2012域控制器。仅当DHCP客户端请求时，默认设置才显示为“ 动态更新DNS A和PTR记录”。

（在Scope Properties->下DNS）

选择始终动态更新DNS A和PTR记录是否有缺点？

与不请求更新的DHCP客户端（例如，运行Windows NT 4.0的客户端）动态更新DNS A和PTR记录之间有什么区别？

选择始终动态更新DNS A和PTR记录是否有缺点？

这取决于您想做什么。

默认情况下，Windows计算机将直接与DNS对话并更新其自己的A记录，并且将要求DHCP更新PTR记录。

通过启用始终动态更新DNS A和PTR记录，即使客户端仅要求它更新DHCP 和记录，您仍在告诉DHCP更新两个记录。PTR。

那和“ ...对于不请求更新的DHCP客户端...”有什么区别？

现在，NT 4.0示例已不再那么重要了，因此请考虑在混合环境中安装Windows和Mac（或Linux）客户端。

Windows计算机处理其动态DNS更新（或要求DHCP进行此操作）。

但是Mac / Linux客户端则没有。使用此选项，DHCP可以为这些机器创建记录，这些记录不需要或不能请求动态DNS更新。

要考虑的一些事情：

• 您应该为DHCP创建一个专用的非特权AD用户帐户以用于动态DNS更新，并将其添加到DnsUpdateProxy组（如果DHCP在域控制器上运行，这一点尤其重要）。
• DHCP始终注册客户端报告的名称，即使您设置了保留。如果客户报告的名称与您在预订中设置的名称不同，则预订的名称将被覆盖。
• 通过DHCP设置的动态DNS记录上将设置时间戳。即使已将DHCP设置为在租约到期时删除记录，也应该正确设置DNS清理以删除这些记录（最好将其保留在租约上，但是在很多情况下这种情况不会发生）。

关于DnsUpdateProxy组的使用，据我了解，只有DHCP服务器应该是该组的成员，而不是动态DNS更新用户。应该将用户帐户添加到DHCP服务器配置中，而不是DnsUpdateProxy组中。

DnsUpdateProxy组用于DNS客户端。用户不是客户端，它是客户端（DHCP服务器）用来在仅打开安全更新时对DNS进行动态更新的一种机制。客户端仍然是DHCP服务器。

https://docs.microsoft.com/zh-CN/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

当DHCP服务器位于DC上时，除了使服务器成为该组的成员并将用户添加到DHCP配置之外，还需要将OpenACLOnProxyUpdates设置为off。如果不这样做，则会添加一个漏洞，因为DnsUpdateProxy组中的成员资格对DNS记录提供了过多的权限。

一些思想流派建议DC上的DHCP不应是DnsUpdateProxy的成员，而应仅将DNS更新用户分配给DHCP。这对于较旧的Windows Server可能是正确的，但对于2012R2及更高版本，我从技术文档中得出的感觉是服务器仍应位于DnsUpdateProxy组中，但是由于是DC，因此该组成员身份的权限会打开该漏洞。

因此，如果在启用了安全动态DNS更新的DC上启用了DHCP，则还应该在运行DHCP的DC上运行此命令，因此其DNS将不允许“外部”更新更改DHCP拥有的记录：

dnscmd / config / OpenAclOnProxyUpdates 0

底线-DnsUpdateProxy组不适用于任何用户对象-仅应用于DHCP服务器对象（DHCP客户端），并且主要用于“最佳做法”，即将DHCP服务器安装在非DC服务器上，以便授予必要的权限以动态更新DNS。将安全更新用户添加到该组没有任何作用。