web-dev-qa-db-ja.com

Windows AD DNSはCNAMEのPTRレコードを自動的に追加しており、これを停止したい

序文:私はWindows管理者ではありません。私はLinux管理者です。

内部DNSの正引きと逆引きを処理するAD DNSを備えたWindows 2016サーバーがあります。

どこかで、どういうわけか、いくつかのプロセスがCNAMEのPTR逆ルックアップレコードを自動的に追加しています。これは、サーバー間のSSHのKerberos認証を破壊しています。CNAMEを持つホストの正規のルックアップは、FQDNとKerberosバルクを返しすぎるためです。

CNAME逆引き参照を削除すると、Kerberos SSHの問題が解決しました。

そして翌日、プレスト!すべてのPTR-> CNAMEエントリがAD DNSに戻った

例、上から(名前を汎用に変更しましたが、全体的な設定は同じです):

SMTPとSquidプロキシを実行するネットワーク操作ボックスのペアにAレコードがあります

netops01.example.com -> 10.1.2.3
netops02.example.com -> 10.4.5.6

この同じボックスにはCNAMEがあります

netops
proxy
mailserver

何らかの理由で、AD DNSには次のような逆引き参照エントリがあります。

3.2.1.10.in-addr.arpa. 3600 IN  PTR netops.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR proxy.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR mailserver.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR netops01.example.com

最後のエントリは、このホストのAレコードです。他のすべては、そのAレコードのCNAME + 2番目のホストの別のAレコードです。

私も、opsを処理する他の管理者も、これらを作成していません。また、逆引き参照を再作成するようにスケジュールされたタスクを設定していません。また、CNAMEや複数の結果への逆ルックアップポイントを設定するのに十分な理由も想像できません。 (たぶん正当な理由があるのでしょうか?

したがって、Aレコードを除くすべての逆引き参照を削除しました。 Kerberos SSHが動作します!

翌日、すべてのレコードが返されました。

Windowsでどのようにトラブルシューティングを行うかさえわからない(したがって、序文が一番上にある)

  • このアクションを実行したものをWindowsログで確認するにはどうすればよいですか?
  • これを自動的に実行するWindows DNSについて何かありますか? (CNAMEのPTRを作成)
  • それをオフにする方法はありますか?
  • 他に何か不足していますか?
3
JDS

自分に答える

足りないものを見つけました。 2つのこと:

  1. これらは実際にはCNAMEではありませんでした。それらは、ロードバランシングの目的で複数のホストがリストされたAレコードでした。

    それらはAレコードであるため、「関連するPTRレコードを自動的に作成する」という行に沿ってチェックボックスがありました。

    これらのレコードについては、チェックを外しました。これで、ここで説明する問題が実際に修正されたようには見えませんでした。PTRレコードは毎朝まだ再構築されています。

  2. ただし、とにかく、それは私が探していた解決策ではありません。根本的な問題は、Kerberosが機能していないことでした。それは、この「rdns」設定を/etc/krb5.confに追加することで簡単に解決できました

    [libdefaults]

    rdns = false

1
JDS

デフォルトでは、Windowsは常に動的DNSを使用して正引きと逆引きの両方を登録しようとします。

自分自身を登録しているクライアント、DNSサーバー、またはその両方で、この機能を無効にできます。差し迫った問題を解決する最も簡単な方法は、関連する逆引き参照ゾーンの動的DNSサポートを無効にすることです。長期的には、状況に応じて、フォワードゾーンでも無効にすることができます。

DNSサーバーの関連設定を示すスクリーンショット here を見つけました。 「なし」を選択したい。

クライアントでの動的更新の無効化についての詳細情報 here および here があります。これは必須ではありませんが、動的DNS要求がサーバーによって拒否されているため、クライアントは定期的にイベントログメッセージを生成します。

NB:Active Directoryドメインコントローラーまたは_msdcsなどのActive Directoryゾーンの動的更新を無効にしないでください。ドメインインフラストラクチャに関する情報を格納するドメインコントローラー。これはActive Directoryを壊します。

0
Harry Johnston