DHCP konsolu üzerinde bu menü hakkında sık sık soruların sorulması nedeni ile böyle bir blog yazısı yazmaya karar verdim. Aslında bu bölüm son derece basit ve kullanışlı bir özellik olmasına karşın anlatımı kısadır. Ancak bu kısa anlatımın anlaşılması için öncelikle DNS biliyor olmanız gerekli. Eğer bu konuda tecrübeniz yok ise benim bir kaç cümle ile anlatacağım konunun anlaşılması için öncelikle aşağıdaki makalemi okumanızı öneririm.
Peki DNS üzerindeki dinamik güncelleme mantığını anladı isek DHCP üzerindeki bu menü ne işe yarar? Microsoft sistemleri kendi başına DNS client servisi sayesinde ve varsayılan ayar değişitirilmemiş ise dinamik güncelleme işlemi ile DNS kayıtlarını güncellerler, ancak eğer ortamınızda bunu yapamayacak non-ms istemciler veya mobil aygıtlar var ve siz bunlarında A kayıtlarının oluşmasını istiyorsanız DHCP’ ye bu yetkiyi verebilirsiniz. Bu yetki sayesinde DHCP ip verdiği her cihazın kaydını DNS üzerinde verdiğiniz yetki ile oluşturacaktır.
Enable DNS dynamic updates according to the settings below
Eğer bu kutucuk işaretlenir ise DHCP server A ve PTR kayıtlarını istemciler için DNS üzerinde oluşturur. Hemen altında iki seçenek vardır, ilk seçenek seçilmesi durumunda istemci talep eder ise DNS üzerinde kayıt açılırken, alttaki seçenek olan “Always dynamically update DNS A and PTR records” seçilir ise istemci istek yapsın veya yapmasın DHCP sunucusu her türlü A ve PTR kaydı açmayı deneyecektir.
Discard A and PTR records when lease is deleted
Bu onay kutusunun etkinleştirilmesi, DHCP sunucusunun bir istemcinin DHCP kiralaması sona erdiğinde ve yenilenmediğinde DNS A ve PTR kayıtlarını silmesini sağlar.
Dynamically update DNS A and PTR records for DHCP clients that do not request updates (for example, clients running Windows NT 4.0)
Bu onay kutusunun etkinleştirilmesi, güncelleme istemeyen istemciler için dahi DHCP sunucusunun, DHCP istemcileri için DNS A ve PTR kayıtlarının dinamik güncellemelerini yapmasını sağlar.
Unutmayın ilk kutucuk kayıt oluştururken bu son kutucuk güncelleme için kullanılır. Birbirine karıştırmayın lütfen.
Son kutucuk ise PTR kaytıları için dinamik güncellemeyi kapatmanızı sağlar.
Tüm bu kutucukların işe yaraması için yetkili bir kullanıcı kimlik bilgisinin verilmesi gereklidir.
Burada önemli bir konuda günün sonunda bir non ms sistemin kritik bir makine ismini alıp ardından DHCP üzerinden ip alması ile aynı A kaydının oluşması sonucu sistemlere zarar verilebilir. Yani bu özelliğin açılması aslında bir risk taşıdığı için “Name Protection” bölümünden ilgili kutucuğu işaretlemeniz önerilir.
Bu özellik temel olarak DHCP üzerinden ip alan bir istemciden gelen kayıt isteğini DNS sunucusuna iletir, ancak DNS sunucusu üzerinde aynı isimde bir kayıt var ise bu durumda bu isteği kabul etmez. Özetle mutlaka kullanılması gereken bir özelliktir.
Peki temel olarak DHCP için bu sürecin sağlıklı çalışması adına ne yapmamız gerekiyor.
Bunlardan bir tanesi konumuzun başlığı olan “DNS dynamic update credentials” bölümünden yetkili bir kullanıcı bilgisi girmektir. Diğeri ise AD üzerindeki DNSUpdateProxy isimli gruba DHCP sunucusunu eklemektir. Bu yöntem pek tavsiye edilmez. Bunun yerine
Peki Dinamik Update için yetkili bir hesap tanımı yaptık bu durumda mevcut kayıtlar ne olacak?
Bir DNS kaydı doğrudan bir DNS istemcisi tarafından oluşturulmuşsa, varsayılan olarak, bir DHCP sunucusu bunu yapma iznine sahip olmadığından bu DNS kaydı üzerinde güncelleme yapamaz. Yani istemcinin kendisi DNS üzerinde kendi kaydınız yapıyor ise, DHCP den ip aldığı için bir daha DHCP sunucusu o kaydı güncellemez ve sahipliğini değiştirmez. Çünkü zaten istemci bunu kendisi yönetebiliyor. Bu daha çok bunu yönetemeyen istemciler için gerekli bir ayardır.
DHCP istemcileri adına DNS A ve PTR kayıtları için DHCP kaydını kullanmanın başka bir dezavantajı da, yeni DNS kayıtlarının sahibi olarak DHCP AD hesabına sahip olunmasının, bu kayıtların istemciler tarafından doğrudan güncellenemeyecek hale gelmesidir. Bunun nedeni, bu kayıtların ACL’lerinde istemcilerin kendi kayıtlarını güncelleme iznine sahip olmamasıdır. Ancak zaten amacımız kendisinin bu kayıtları yönetemeyen istemciler için DHCP’ nin bu kayıtları DNS üzerinde oluşturmasını sağlamak olduğu için bu kullanım senaryonuza göre herhangi bir sorun teşkil etmeyebilir.
Peki bu hesaba tam olarak neden ihtiyacımız var?
Aslında DHCP sunucusunun DnsUpdateProxy grubuna üye yapabiliriz, daha sonra gelen ip istekleri için DNS kayıtları oluşturulabilir ancak DHCP sunucusu bu durumda bu kayıtlar için yetkili yani sahip olacaktır. Eğer o DCHP sunucusu bir şekilde kapanır veya yenilenir ve yerine yeni bir DHCP sunucusu kurulur ise o zaman yeni DHCP sunucusu eski kayıtları yönetemez, bu da o kayıtların DNS üzerinde kalmasına neden olur. Bu nedenle bir veya birden çok DHCP sunucusu var ise mutlaka yetkili bir hesap açıp bu hesabı tanımlarız. Bu sayede tek veya birden çok DHCP olsun veya olmasın sunucu değişikliklerinde her zaman yetkili hesap ortak olacağı için bu hesabı hangi DHCP sunucusu kullanırsa kullansın sorunsuz kayıt güncellemlerine devam edecektir.
Bunun tek istisnası bir DC yi eğer DHCP yapar iseniz hesap tanımı yapmayın, çünkü çalışmayacaktır.
Umarım yararlı bir yazı olmuştur.