Existe uma desvantagem em sempre atualizar o DNS do DHCP?

Existe uma desvantagem em selecionar Sempre atualizar dinamicamente os registros DNS A e PTR?

Depende do que você quer fazer.

Por padrão, uma máquina Windows falará diretamente com o DNS e atualizará seu próprio Aregistro e solicitará que o DHCP atualize o PTRregistro.

Ao ativar Sempre atualizar dinamicamente o DNS Ae os PTRregistros, você está informando ao DHCP para atualizar os dois registros, mesmo que o cliente solicite apenas a atualização do arquivo PTR.

Qual é a diferença entre isso e "...para clientes DHCP que não solicitam atualizações..."

O exemplo NT 4.0 não é tão relevante hoje em dia, então considere um ambiente misto onde você tem clientes Windows e Mac (ou Linux).

As máquinas Windows lidam com suas atualizações dinâmicas de DNS (ou solicitam que o DHCP o faça).

Mas os clientes Mac/Linux não. Essa opção permite que o DHCP crie registros para essas máquinas que não solicitam ou não podem solicitar atualizações dinâmicas de DNS.

Algumas coisas a considerar:

• Você deve criar uma conta de usuário AD não privilegiada e dedicada para o DHCP usar para atualizações dinâmicas de DNS e adicioná-la ao grupo DnsUpdateProxy (isso é especialmente importante se o DHCP for executado em um controlador de domínio).
• O DHCP sempre registra o nome informado pelo cliente, mesmo que você configure uma reserva. Se o cliente informar um nome diferente do que você definiu na reserva, o nome da reserva será substituído.
• Os registros DNS dinâmicos definidos via DHCP terão um carimbo de data/hora definido neles. Você deve configurar adequadamente a eliminação de DNS para excluir esses registros, mesmo se tiver DHCP definido para remover registros quando a concessão expirar (é bom ter isso ativado, mas há muitos casos em que isso simplesmente não acontece).

Em relação ao uso do grupo DnsUpdateProxy, entendo que apenas os servidores DHCP devem ser membros desse grupo, não o usuário dinâmico de atualização de DNS. A conta de usuário deve ser adicionada à configuração do servidor DHCP, não ao grupo DnsUpdateProxy.

O grupo DnsUpdateProxy é para clientes DNS. O usuário não é um cliente, é um mecanismo usado pelo cliente (o servidor DHCP) para fazer atualizações dinâmicas no DNS quando você tiver apenas atualizações seguras ativadas. O cliente continua sendo o servidor DHCP.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

Quando o servidor DHCP está em um controlador de domínio, além de tornar o servidor membro do grupo e adicionar o usuário à configuração DHCP, você também precisa desativar OpenACLOnProxyUpdates. Caso contrário, você está adicionando uma vulnerabilidade, porque a participação no grupo DnsUpdateProxy fornece muita autoridade sobre os registros DNS.

Algumas escolas de pensamento sugerem que o DHCP em um controlador de domínio não deve ser membro do DnsUpdateProxy e deve ter apenas o usuário de atualização do DNS atribuído ao DHCP. Isso pode ser verdade para o Windows Server mais antigo, mas para 2012R2 e posterior, a impressão que tenho dos documentos técnicos é que o servidor ainda deve estar no grupo DnsUpdateProxy, mas por ser um controlador de domínio, as permissões de associação desse grupo abrem a vulnerabilidade.

Portanto, se você tiver DHCP em um DC com atualização de DNS dinâmica segura habilitada, também deverá executar este comando no DC que está executando o DHCP, para que seu DNS não permita que atualizações "estrangeiras" alterem registros pertencentes ao DHCP:

DNSCmd /config /OpenAclOnProxyUpdates 0

Resumindo - o grupo DnsUpdateProxy não é para nenhum objeto de usuário - ele deve ser usado apenas para objetos de servidor DHCP (clientes DHCP) e destina-se principalmente às "práticas recomendadas" de ter seu servidor DHCP em um servidor não-DC, para conceder as permissões necessárias para atualizar dinamicamente o DNS. Adicionar o usuário de atualização segura a esse grupo não serve para nada.