OT: Dynamicke DNS ve W2K (RE: named - denied update)

Rehor Petr petr.rehor at i.cz
Fri Feb 22 18:22:27 CET 2002

Previous message: named - denied update
Next message: pomoc s pppd
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

> Ja jsem tu diskusi nesledoval od zacatku, ale to, ze se 
> nejake windowsi stanice snazi samy registrovat do DNS
> je M$ feature pro systemy jako W2K a patrne (podle toho
> prispevku) i Win98/ME.  Nektere nove M$ vymysly (myslim,
> ze napr. Active Directory)  na tom, ze se masina muze sama 
> pridat do DNS stoji a padaji :-)) . Rada lidi poukazuje na
> to, ze centralne spravovane DNS je jednim z prvku bezpecnosti
> a ze v tom nemuze byt cochcarna, ale M$ to nevadi. Pokud to
> ale nepovolis na strane DNS serveru tak nemaji sanci.

Dovolim si uvest toto tvrzeni na pravou miru, treba se to bude
nekomu hodit.

W2K jsou v defaultnim stavu nakonfigurovane tak, ze vyuzivaji
dynamicke zaznamy do DNS (a to nezavisle na tom, jsetli dostavaji
konfiguraci IP od DHCP nebo ji maji statickou).

Pokud ma stanice ci server statickou konfiguraci IP, registruje
si A a PTR zaznam pri zapnuti (nezkoumal jsem zatim co se deje
pri vypnuti). Server, ktery je domenovym radicem Active Directory
jeste prida haldu SRV a CNAME zaznamu.

Pokud je pouzit DHCP server, muze byt soucasti parametru i dohoda
o tom kdo udela A a PTR zaznam do DNS. Standardne dela stanice 
A zaznam a DHCP server PTR zaznam.

Toto chovani je samozrejme mozne zmenit. Jak nato je popsano zde:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q246804

Moje prakticka zkusenost je takova, ze je mozne dynamicke updaty
kompletne vypnout a pouzivat pouze staticke zaznamy v DNS. Na
W2K domenovych radicich je v C:\WINNT\system32\config\netlogon.dns
seznam SRV a CNAME zaznamu, ktere musi byt preneseny do DNS serveru.

Taky jsme testovali scenar }radeji se me meptejte proc jsme to
delali ;-) s bind8 a dhcpd na AIXu, W2K stanice vypnute dynamicke
updaty DNS, dhcpd a W at K domenove radice delali dynamicke updaty do
bind8. Po celou dobu testovani (asi 2 hodiny) to skvele fungovalo :-)
Jenom je nutne se rozloucit se zabezpecenymi dynamickymi updaty
pomoci TSIG a omezit se na povolene IP adresy.

Hezky vikend preju.

Petr

---------------------------------------------------------------------
ICZ a.s.               J.S.Baara 40, Ceske Budejovice, Czech Republic
Tel: +420-38-7312808   Fax: +420-38-7311480           http://www.i.cz

Previous message: named - denied update
Next message: pomoc s pppd
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list