W środowisku mieszanym serwer DHCP może być konfigurowany tak, aby rejestrował dynamicznie rekordy A i R dla klientów niższego poziomu. W tej sytuacji domyślna konfiguracja bezpiecznej aktualizacji dynamicznej może powodować przedawnienie rekordów. Kiedy serwer DHCP dokona bezpiecznej aktualizacji dynamicznej danej nazwy, staje się on właścicielem tej nazwy. Gdyby później ów serwer DHCP „padł”, to rezerwowy serwer DHCP nie mógłby uaktualnić rekordu, ponieważ go nie posiada. Również gdyby klient dolnego poziomu został później uaktualniony do systemu Windows 2000, to nie mógłby uaktualnić swoich własnych rekordów zasobu, ponieważ ich nie posiada.
Naprzeciw temu problemowi wychodzi zastosowanie grupy zabezpieczeń DnsUpdateProxy. Żaden obiekt utworzony przez członka tej grupy nie posiada żadnych zabezpieczeń, a pierwsza jednostka, która nie jest członkiem tej grupy i uzyska dostęp do tego obiektu, staje się jego właścicielem. Każdy serwer DHCP, który rejestruje rekordy A dla klientów dolnego poziomu zostaje umieszczony w grupie DnsUpdateProxy. Serwery te tworzą rekordy, lecz ich nie posiadają, więc problem zostaje wyeliminowany.
Jednakże takie rozwiązanie sprawia, że wszelkie nazwy DNS zarejestrowane przez serwer DHCP w grupie DnsUpdateProxy są niezabezpieczone. Jest to szczególnie istotne, jeżeli usługa DHCP jest zainstalowana na kontrolerze domeny. W takim przypadku wszystkie rekordy SRV, A oraz CNAME zarejestrowane przez usługę Netlogon dla tego kontrolera domeny są niezabezpieczone. Aby zminimalizować ten problem, Microsoft zaleca, aby serwery DHCP, szczególnie w środowisku mieszanym, nie były instalowane na kontrolerach domen. Następnym argumentem przemawiającym przeciwko instalowaniu usługi DHCP na kontrolerze domeny jest to, że daje ona serwerowi DHCP pełną kontrolę nad wszystkimi obiektami DNS przechowywanymi w usłudze Active Directory, ponieważ serwer DHCP działa pod kontem komputera (kontrolera domeny).