Voici un billet dédié à la mise en place de dynamic update DNS réalisé par les serveurs DHCP en lieu et place du client, ceci afin de restreindre les permissions d'écriture sur les zones DNS.
1. Rappel du paramétrage du client
Pour que le client réalise son enregistrement DNS dynamique, il faut que la case "Enregistrer les adresses de cette connexion dans le système DNS" soit cochée.
Le client enregistre alors ses entrées dans le domaine spécifié par le suffixe DNS principal de cette machine.
Lorsque
la case “Utiliser le suffixe DNS de
cette connexion pour l’enregistrement DNS” est cochée, la station
s’enregistre également dans la zone mentionnée dans le champs “Suffixe DNS pour cette connexion”, ce
qui permet de réaliser des doubles enregistrements.
Pour que la station de
travail ou le serveur ne tente pas un enregistrement dynamique, il faut que la
case “Enregistrer les adresses de cette
connexion dans le système DNS” soit décochée.Pour les postes
configurés en DHCP, il est alors possible
de configurer le DHCP pour qu’il réalise l’enregistrement DNS à la place
du client.
2. Configuration du DHCP
L'activation du DDNS par le serveur DHCP peut être configuré
au niveau du scope ou au niveau du serveur DHCP.
Il faut activer le DDNS
et demander l’enregistrement même pour les hosts qui n’en font pas la demande.
Par exemple, pour activer le DDNS pour tous les scopes hébergés par le serveur DHCP, configurez le DDNS au niveau du serveur
DHCP.
Configurez les options suivantes:
L’enregistrement aura
lieu dans le domaine mentionné par l’option 15 du scope DHCP.
3. Déploiement des paramètres par GPO
La désactivation de "Enregistrer les adresses de cette connexion dans le système DNS" peut être réalisée par GPO, il faut désactiver Dynamic Update et Register PTR Records.
4. Permissions sur les zones DNS
Par défaut, à la création d'une zone DNS intégrée AD, le groupe Tout le mondea les permissions de rajouter des entrées et modifier et supprimer ses propres entrées, ceci afin que le dynamic Update puisse ajouter des entrées.
Pour restreindre les permissions, il faut donc retirer à tout le monde les permissions de créer des entrées.
Il faut ensuite autoriser les serveurs DHCP à ajouter des entrées et modifier ses enregistrements. C'est le cas par défaut si les DHCP sont installés sur des controleurs de domaine.
Si ce n'est pas le cas, un groupe contenant les serveurs DHCP peut être autorisé à créer/modifier/supprimer des entrées DNS.
Dans les paramètres du serveur DHCP, iles est également possible de spécifier le compte utilisateur qui sera utilisé pour réaliser les enregistrements dynamiques. Ce compte devra avoir les permissions nécessaires pour gérer les enregistrements DNS.
Note: Lors du DDNS réalisé par DHCP, celui-ci devra avoir le droit d'écraser (mettre à jour) des enregistrements existant, donc simplement créer des enregistrements et modifier ses propres enregistrements (par le biais de SELF) est insuffisant.
5. Scavenging
Il est interessant en même temps que la mise en place du DDNS de mettre en place le nettoyage automatique des enregistrements crées par DDNS (Scavenging).
Le scavenging doit être activé au niveau du serveur DNS (sur 1 seul , car les suppressions se répliquent aux autres), et également sur chaque zone gérée.
Les valeurs par défaut de 7 jours peuvent être conservées.
Lorsque le scanvenging est activé, seuls les enregistrements crées par dynamic update sont touchés, un enregistrement statique ne sera jamais supprimé.
Pour gérer celà, le scavenging s'appuie sur un timestamp lié à l'enregistrement, et ce timestamp n'est crée que lors de la création par DDNS.
Si vous avez des doutes sur les enregistrements qui risquent d'être supprimés lors de l'activation du scavenging, vous pouvez lister les entrées d'une zone à l'aide de dnscmd.exe et lister celle qui possèdent un entrée [aging].
ex: dnscmd dnsserver /enumrecords dnszone @ > dnsdump.txt
puis findstr /i "aging" dnsdump.txt > aging.txt