Enregistrements DNS et sécurité

By Matthieu CHARRIER

Il est important de comprendre comment les clients mettent à jour leurs enregistrements DNS de manière dynamique afin d’éviter les problèmes où le processus échoue en raison d’une mauvaise gestion de vos zones et enregistrements DNS. De nombreux administrateurs DNS trouvent que le processus de mise à jour dynamique du DNS et les processus de vieillissement et de nettoyage peuvent être difficiles à comprendre et à gérer correctement.

Nous espérons que les informations contenues dans cet article vous aideront à comprendre la relation entre la sécurité DNS et les mises à jour d’enregistrements afin d’éviter des problèmes tels que le fait que les clients ne puissent PAS mettre à jour leurs enregistrements DNS ou que des enregistrements DNS soient récupérés par des ordinateurs de domaine légitimes.

Lorsqu’un enregistrement DNS est créé par un nouveau client, l’intervalle NoRefresh est en vigueur, qui est de 7 jours par défaut. Lorsque le client met dynamiquement à jour ses informations DNS dans cette situation, l’horodatage DNS du client n’est pas mis à jour jusqu’à ce que l’intervalle Refresh prenne effet. Ce comportement permet de contrôler et de gérer la réplication DNS et Active Directory (pour les zones intégrées AD).

Comment modifier votre serveur DNS sur un Mac

Pendant l’intervalle de rafraîchissement, qui est de 7 jours par défaut, l’horodatage DNS du client est mis à jour. Pendant l’intervalle Scavenging, les anciens enregistrements de ressources DNS sont automatiquement supprimés. Ce processus fonctionne très bien lorsque les autorisations de sécurité correctes sont en place pour les enregistrements de clients DNS.

A lire également :   Comment ajouter une image à votre signature Gmail

Lorsqu’un client DNS ou un serveur DHCP effectue une mise à jour dynamique, l’enregistrement DNS ajoute le compte Client_Ordinateur_Nom$ aux autorisations de l’enregistrement DNS. Par conséquent, seul l’ordinateur qui a enregistré l’enregistrement DNS peut mettre à jour l’enregistrement DNS. Si le compte d’ordinateur du domaine est SUPPRIMÉ puis recréé pour le même ordinateur, l’enregistrement DNS n’est pas mis à jour avec le nouveau SID du compte d’ordinateur.

Rappelons que les comptes d’ordinateur sont également des principes de sécurité et que, par conséquent, la suppression de l’objet et sa recréation donnent lieu à un nouvel objet avec un SID différent. Dans d’autres scénarios, lorsqu’un changement est effectué sur le serveur DHCP, comme la configuration du service DHCP pour mettre à jour les enregistrements DNS au nom du client, le serveur DHCP peut ne pas mettre à jour un enregistrement DNS lorsque le client enregistre un enregistrement DNS.

Ce comportement se produit si le compte Client_Computer_Name$ existe déjà pour l’enregistrement DNS. Le serveur DHCP n’a pas de droits sur les enregistrements dans le DNS.

Lorsque le client DNS est configuré pour utiliser une adresse IP statique, il enregistre les enregistrements de ressources d’hôte (A) et les enregistrements de ressources de pointeur (PTR) sur le serveur DNS. Ensuite, le client DNS ajoute le compte Client_Nom_Ordinateur$ avec des autorisations de contrôle total pour l’enregistrement DNS.

Dans le cas de l’utilisation du service DHCP pour enregistrer les enregistrements DNS du client, vous devez ajouter le compte de l’ordinateur du serveur DHCP au groupe de sécurité DNSUpdateProxy et définir les paramètres appropriés dans les propriétés du serveur DHCP.

Activez les mises à jour dynamiques du DNS selon les paramètres ci-dessous.
Mettez à jour dynamiquement les enregistrements DNS A et PTR uniquement si les clients DHCP le demandent.

Dans ce cas, le client DNS enregistre l’enregistrement de ressource hôte (A). Ensuite, le client DNS ajoute le compte Client_Nom_Ordinateur$ avec des autorisations de contrôle total pour l’enregistrement DNS sur les serveurs DNS.

A lire également :   Attendez ! Ce site Web légitime pourrait être une ruse pour voler vos mots de passe.

Ensuite, le serveur DHCP enregistre l’enregistrement de ressources du pointeur (PTR). Enfin, le serveur DHCP ajoute le compte DHCP_Ordinateur_Nom$ avec des autorisations de contrôle total pour l’enregistrement DNS.

Activez les mises à jour dynamiques du DNS selon les paramètres ci-dessous
Toujours mettre à jour dynamiquement les enregistrements DNS A et PTR

Dans ce cas, le serveur DHCP enregistre à la fois l’enregistrement de ressource d’hôte (A) et l’enregistrement de ressource de pointeur (PTR). Ensuite, le serveur DHCP ajoute le compte DHCP_Nom_de_l’ordinateur$ avec des autorisations de contrôle total pour l’enregistrement DNS.

Si vous configurez et gérez correctement vos enregistrements DNS, le processus de mise à jour et de vieillissement/récupération devrait fonctionner parfaitement dans votre environnement.

Laisser un commentaire