3 votos

Windows AD DNS automáticamente añade registros PTR para CNAMEs y quiero que deje de

Prefacio: yo no soy una de administradores de Windows. Soy un Linux admin.

Tengo un Windows 2016 servidor con DNS de AD que se encarga de DNS interno hacia adelante y búsquedas inversas.

En algún lugar, de alguna manera, de algún proceso que está agregando automáticamente PTR registros de búsqueda inversa para Cname. Este es romper nuestra Kerberos autenticación de SSH entre los servidores, como canónica de la búsqueda de un host que tiene CNAMEs volverá demasiados los nombres de dominio de Kerberos y se niega a cooperar.

La Kerberos SSH problema se resolvió cuando me he quitado el CNAME búsquedas inversas.

Luego, al día siguiente, presto! todos los PTR -> entradas CNAME estaban de vuelta en el ANUNCIO de DNS

Ejemplo, desde la parte superior (he cambiado los nombres genéricos, pero en general el programa de instalación es el mismo):

Un par de operaciones de la red de cajas que se ejecutan SMTP y el servidor proxy Squid tiene archivos

netops01.example.com -> 10.1.2.3
netops02.example.com -> 10.4.5.6

Y este mismo cuadro se ha CNAMEs

netops
proxy
mailserver

Por alguna razón, no están de búsqueda inversa de las entradas en el DNS de AD, así:

3.2.1.10.in-addr.arpa. 3600 IN  PTR netops.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR proxy.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR mailserver.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR netops01.example.com

La última entrada es el registro para este host. Todos los demás son Cname para que Un registro + otro récord para el segundo anfitrión.

Ni yo ni el otro admin que maneja la ops creó estas. No se ha establecido ninguna tarea programada para recrear las búsquedas inversas. Tampoco puedo imaginar una buena razón para tener una búsqueda inversa punto a Cname o varios resultados. (Tal vez no es una buena razón? Nunca he hecho esto antes, aunque)

Así que, he eliminado todas las búsquedas inversas, excepto el registro. Kerberos SSH funciona!

Día siguiente, los expedientes de devolución de todos.

Ni siquiera estoy seguro de cómo en Windows para solucionar problemas (por lo tanto mi prefacio en la parte superior)

  • ¿Cómo puedo encontrar en los registros de Windows, lo que realiza esta acción?
  • Hay algo acerca de DNS de Windows que lo hacen automáticamente? (Crear un rap para Cname)
  • Es allí una manera de apagarla?
  • Nada más me falta?

1voto

JDS Puntos 505

Respondiendo A Mí Misma

He encontrado lo que me faltaba. Dos cosas:

  1. Estos no eran, de hecho, Cname. Ellos fueron Una de registros con varios hosts enumeradas para el propósito de balanceo de carga.

    Desde que fueron registros, que tuvo una casilla de verificación a lo largo de las líneas de "crear automáticamente relacionados con el registro PTR"

    Yo sin marcar que para estos registros. Que en realidad no parecen solucionar el problema que se describe aquí: los registros PTR están siendo reconstruido cada mañana.

  2. Sin embargo, esa no es la solución que estaba buscando, de todos modos. El problema subyacente era que Kerberos no estaba funcionando. Bueno, eso fue fácil de resolver mediante la adición de este "rdn" configuración /etc/krb5.conf

    [libdefaults]

    rdn = false

0voto

Harry Johnston Puntos 1587

De forma predeterminada, Windows siempre intenta registrar hacia adelante y en reversa búsquedas uso de DNS dinámico.

Usted puede desactivar esta funcionalidad, ya sea en los clientes que se registran a sí mismos, o en el servidor DNS, o ambos. La forma más rápida de resolver el problema inmediato sería deshabilitar el soporte de DNS dinámico para las correspondientes zonas de búsqueda inversa. En el largo plazo, dependiendo de sus circunstancias, es posible que desee deshabilitar en el avance de las zonas así.

He encontrado una captura de pantalla que muestra la configuración correspondiente en el servidor DNS aquí. Usted desea seleccionar "Ninguno".

Hay más información sobre la desactivación de la actualización dinámica en la que los clientes aquí y aquí. Esto no es esencial, pero de lo contrario los clientes generará periódico de mensajes de registro de sucesos debido a la dinámica de las solicitudes de DNS están siendo rechazado por el servidor.

NB: no debe deshabilitar las actualizaciones dinámicas en el Active Directory o de controladores de dominio de Active Directory zonas como _msdcs que son utilizados por los controladores de dominio para almacenar la información sobre el dominio de la infraestructura. Esto va a romper de Active Directory.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: