Windows AD DNSはCNAMEのPTRレコードを自動的に追加しますが、これを停止したいです

tag-icon tag-icon active-directory windows-server-2012-r2 cname-record reverse-dns ptr-record
Windows AD DNSはCNAMEのPTRレコードを自動的に追加しますが、これを停止したいです

前書き: 私は Windows 管理者ではありません。Linux 管理者です。

内部 DNS の順方向および逆方向参照を処理する AD DNS を備えた Windows 2016 サーバーがあります。

どこかで、何らかのプロセスが CNAME の PTR 逆引き参照レコードを自動的に追加しています。これにより、サーバー間の SSH の Kerberos 認証が壊れます。CNAME を持つホストの正規参照では、FQDN が多すぎて Kerberos が失敗するためです。

CNAME 逆引き参照を削除すると、Kerberos SSH の問題が解決しました。

そして翌日、なんと、すべてのPTR -> CNAMEエントリがAD DNSに戻っていました。

上からの例 (名前は一般的なものに変更しましたが、全体的な設定は同じです):

SMTPとSquidプロキシを実行するネットワーク操作ボックスのペアにはAレコードがあります

netops01.example.com -> 10.1.2.3
netops02.example.com -> 10.4.5.6

そしてこの同じボックスにはCNAMEがあります

netops
proxy
mailserver

何らかの理由で、AD DNS には次のような逆引き参照エントリが存在します。

3.2.1.10.in-addr.arpa. 3600 IN  PTR netops.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR proxy.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR mailserver.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR netops01.example.com

最後のエントリは、このホストの A レコードです。その他はすべて、その A レコードへの CNAME と、2 番目のホストの別の A レコードです。

これらを作成したのは、私でも、オペレーションを担当する他の管理者でもありません。また、逆引き参照を再作成するためのスケジュールされたタスクも設定していません。また、逆引き参照を CNAME または複数の結果にポイントさせる正当な理由も思いつきません。(正当な理由があるのか​​もしれません。ただし、私はこれまでこれをやったことはありません)

そこで、A レコード以外のすべての逆引き参照を削除しました。Kerberos SSH が動作します。

翌日、記録はすべて戻ってきました。

Windowsでトラブルシューティングする方法さえよくわかりません(そのため、冒頭に前置きがあります)

  • このアクションを実行した原因を Windows ログで確認するにはどうすればよいでしょうか?
  • Windows DNS にはこれを自動的に実行する機能がありますか? (CNAME の PTR を作成する)
  • それをオフにする方法はありますか?
  • 他に何か見逃しているものはありますか?

答え1

自分自身に答える

欠けていたものを見つけました。2つあります。

  1. これらは実際には CNAME ではありませんでした。負荷分散の目的で複数のホストがリストされた A レコードでした。

    これらはAレコードなので、「関連するPTRレコードを自動的に作成する」というチェックボックスがありました。

    これらのレコードのチェックを外しました。しかし、ここで説明されている問題は実際には解決されなかったようです。PTR レコードは引き続き毎朝再構築されています。

  2. しかしいずれにせよ、それは私が探していた解決策ではありません。根本的な問題は、Kerberos が機能していなかったことです。まあ、これは /etc/krb5.conf に「rdns」設定を追加することで簡単に解決できました。

    [libdefaults]

    rdns = 偽

答え2

デフォルトでは、Windows は常に動的 DNS を使用して前方参照と逆参照の両方を登録しようとします。

この機能は、登録しているクライアント、DNS サーバー、またはその両方で無効にできます。当面の問題を解決する最も簡単な方法は、関連する逆引き参照ゾーンのダイナミック DNS サポートを無効にすることです。長期的には、状況に応じて、順引きゾーンでも無効にすることをお勧めします。

DNSサーバーの関連設定を示すスクリーンショットを見つけましたここ「なし」を選択します。

クライアントの動的更新を無効にする方法の詳細については、ここそしてこここれは必須ではありませんが、そうでない場合は、動的 DNS 要求がサーバーによって拒否されるため、クライアントは定期的にイベント ログ メッセージを生成します。

注意:Active Directory ドメイン コントローラー上、またはドメイン コントローラーがドメイン インフラストラクチャに関する情報を保存するために使用する Active Directory ゾーンの動的更新を無効にしないでください。無効に_msdcsすると、Active Directory が壊れます。

関連情報