Ich arbeite an einer Fallstudie zu den Risiken unsicherer dynamischer DNS-Updates. Angenommen, es ist ein internes DNS konfiguriert, das eine Mischung aus statischen und dynamisch erstellten Adressen enthält. Stellen Sie sich eine in Windows AD integrierte DNS-Umgebung vor.
Ich brauche Hilfe bei einigen der folgenden Fragen
- Können ein statischer und ein dynamisch erstellter A-Eintrag für denselben Host nebeneinander existieren – mit Bezug auf unterschiedliche IP-Adressen auf dem DNS-Server? (Beispiel: dynamischer A-Eintrag, der von einem neuen System erstellt wird, das mit demselben Hostnamen in das Netzwerk eingeführt wird)
- Wenn ja, wie würde die DNS-Auflösung in solchen Fällen erfolgen? Kann die DNS-Abfrage in den falschen dynamischen A-Eintrag statt in den statischen A-Eintrag aufgelöst werden?
- Kann dies durch eine sichere dynamische DNS-Konfiguration anstelle von unsicheren DDNS-Updates vermieden werden? Wenn ja, wie könnte ein sicheres DDNS ein solches Szenario verhindern?
Jede Hilfe in dieser Angelegenheit ist sehr hilfreich.
Dank im Voraus.
Antwort1
Können ein statischer und ein dynamisch erstellter A-Eintrag für denselben Host koexistieren?
Ein Name kann in mehrere IP-Adressen aufgelöst werden, d. h. er kann mehrere Aoder AAAA-Einträge haben. Clients erhalten bei der Abfrage des Namens alle diese Einträge.
Wie die IP-Adressen bereitgestellt werden, ist für das oben Gesagte ziemlich irrelevant, außer dass in „dynamischen“ Fällen ein Update oft tatsächlich ein Ersatz ist, d. h.: „Bitte lösen Sie X jetzt in die Adresse Y auf, nachdem Sie alle vorhandenen IP-Adressen dafür entfernt haben.“
Es hängt also alles davon ab, wie Ihr dynamisches Zeug funktioniert. Wenn es additiv ist, können Sie eine Mischung haben.
Wenn ja, wie würde die DNS-Auflösung in solchen Fällen erfolgen? Kann die DNS-Abfrage in den falschen dynamischen A-Eintrag statt in den statischen A-Eintrag aufgelöst werden?
Wenn mehrere Datensätze vorhanden sind A, werden sie alle zurückgegeben. Der Client kann nicht wissen, woher sie stammen (dynamisch oder statisch).
Kann dies durch eine sichere dynamische DNS-Konfiguration anstelle von unsicheren DDNS-Updates vermieden werden? Wenn ja, wie könnte ein sicheres DDNS ein solches Szenario verhindern?
Ja, und öffnen Sie außerdem nur eine Unterzone Ihrer Zone für dynamische Updates, nicht die gesamte Zone.