Windows DNS: Gibt es eine Möglichkeit, eine Domäne basierend auf Subnetzen zu partitionieren?

Question 1

Vielleicht verstehe ich das falsch, aber es scheint, als würde eine geplante Aufgabe, die ein- oder zweimal täglich ausgeführt wird, funktionieren.

Einlesen der DNS-Einträge
Wenn die aufgezeichnete IP-Adresse den Kriterien entspricht
Überprüfen Sie die Sicherheits-ACL für den ACE einer Sicherheitsgruppe, die die Adresse verwaltet
Fügen Sie den ACE hinzu, falls er nicht vorhanden ist.

Hier finden Sie ein Codebeispiel für den Zugriff auf die Zone und die Durchführung von Aktualisierungen:

http://www.adamtheautomator.com/fix-dynamic-dns-record-permissions-automagically/

Dieser Code dient zum Reparieren verwaister dynamischer DNS-Einträge, sollte Sie aber in die richtige Richtung weisen.

Answer

Vielleicht verstehe ich das falsch, aber es scheint, als würde eine geplante Aufgabe, die ein- oder zweimal täglich ausgeführt wird, funktionieren.

Einlesen der DNS-Einträge
Wenn die aufgezeichnete IP-Adresse den Kriterien entspricht
Überprüfen Sie die Sicherheits-ACL für den ACE einer Sicherheitsgruppe, die die Adresse verwaltet
Fügen Sie den ACE hinzu, falls er nicht vorhanden ist.

Hier finden Sie ein Codebeispiel für den Zugriff auf die Zone und die Durchführung von Aktualisierungen:

http://www.adamtheautomator.com/fix-dynamic-dns-record-permissions-automagically/

Dieser Code dient zum Reparieren verwaister dynamischer DNS-Einträge, sollte Sie aber in die richtige Richtung weisen.

Question 2

Sie haben sicher schon bemerkt, dass DNS sich bei der Verwaltung nicht um die Subnetze kümmert. Die typische Verwaltungseinheit in einer DNS-Infrastruktur ist eine „Zone“, die mindestens einer Domäne entsprechen würde. Wenn Sie also Verwaltungsaufgaben delegieren möchten, delegieren Sie die Verwaltung über eine komplette Zone, also mindestens die komplette Domäne.

Windows AD DNS-Server bieten einige zusätzliche Zugriffssteuerungs- und Delegationsfunktionen für einzelne Datensatzeinträge. Sie könnten beispielsweise für jeden einzelnen Datensatz innerhalb einer Zone „Änderungsrechte“ für einen bestimmten Benutzer oder eine bestimmte Gruppe einrichten, ohne die gesamte Zonenverwaltung zu delegieren. Keine der Delegations- und ACL-Funktionen enthält jedoch so etwas wie ein „Subnetz“ als Verwaltungseinheit. Wenn Sie dies in ACEs widerspiegeln müssen, müssen Sie dies extern beheben.

Allerdings ist es wahrscheinlich nicht so schlimm, wie es klingt, da Windows DNS ACLs auch das Konzept des „Erstellers“ eines Datensatzes sowie die Möglichkeit haben, nur die Erstellung neuer Datensätze in einer Zone zu delegieren, ohne dass Berechtigungen zum Ändern anderer zonenspezifischer Daten oder anderer Datensätze erforderlich sind. Der „Ersteller“ wird Eigentümer des Datensatzes und erhält implizit das Recht, dessen Berechtigungen zu ändern, wodurch er indirekt „volle Kontrolle“ erhält. Darüber hinaus kann der ACE für „CREATOR-OWNER“, der bei der Erstellung eines neuen Datensatzes vererbt wird, bei Bedarf explizit im Container definiert werden (das implizite Recht zum Ändern von Berechtigungen kann jedoch nicht widerrufen werden). Der grundlegende Projektumriss könnte also folgendermaßen aussehen:

Bitten Sie das AD DNS-Team um Erstellungsrechte für neue Einträge in der Zone für Ihre Gruppe
Bitten Sie das AD DNS-Team, die Änderungsrechte für Ressourceneinträge Ihrer Gruppe zu delegieren.
Erstellen und ändern Sie selbst Ressourceneinträge für Ihre Gruppe im AD DNS
Schlagen Sie die Erstellung eines häufig ausgeführten Verwaltungsskripts vor, das überprüft, ob die von Ihrer Gruppe erstellten Datensätze der Delegationsrichtlinie entsprechen (d. h. auf Hosts in Ihren Domänen verweisen).
Konfigurieren Sie Ihren Linux-DNS-Server neu, sodass er entweder Abfragen einfach an die AD-DNS-Server weiterleitet oder als sekundärer Server agiert, indem er die Daten der Zone von einem der AD-DNS-Primärserver abruft (wenn die DNS-Zone in AD integriert ist, fungieren alle AD-DNS-Server als Primärserver).

Answer

Sie haben sicher schon bemerkt, dass DNS sich bei der Verwaltung nicht um die Subnetze kümmert. Die typische Verwaltungseinheit in einer DNS-Infrastruktur ist eine „Zone“, die mindestens einer Domäne entsprechen würde. Wenn Sie also Verwaltungsaufgaben delegieren möchten, delegieren Sie die Verwaltung über eine komplette Zone, also mindestens die komplette Domäne.

Windows AD DNS-Server bieten einige zusätzliche Zugriffssteuerungs- und Delegationsfunktionen für einzelne Datensatzeinträge. Sie könnten beispielsweise für jeden einzelnen Datensatz innerhalb einer Zone „Änderungsrechte“ für einen bestimmten Benutzer oder eine bestimmte Gruppe einrichten, ohne die gesamte Zonenverwaltung zu delegieren. Keine der Delegations- und ACL-Funktionen enthält jedoch so etwas wie ein „Subnetz“ als Verwaltungseinheit. Wenn Sie dies in ACEs widerspiegeln müssen, müssen Sie dies extern beheben.

Allerdings ist es wahrscheinlich nicht so schlimm, wie es klingt, da Windows DNS ACLs auch das Konzept des „Erstellers“ eines Datensatzes sowie die Möglichkeit haben, nur die Erstellung neuer Datensätze in einer Zone zu delegieren, ohne dass Berechtigungen zum Ändern anderer zonenspezifischer Daten oder anderer Datensätze erforderlich sind. Der „Ersteller“ wird Eigentümer des Datensatzes und erhält implizit das Recht, dessen Berechtigungen zu ändern, wodurch er indirekt „volle Kontrolle“ erhält. Darüber hinaus kann der ACE für „CREATOR-OWNER“, der bei der Erstellung eines neuen Datensatzes vererbt wird, bei Bedarf explizit im Container definiert werden (das implizite Recht zum Ändern von Berechtigungen kann jedoch nicht widerrufen werden). Der grundlegende Projektumriss könnte also folgendermaßen aussehen:

Bitten Sie das AD DNS-Team um Erstellungsrechte für neue Einträge in der Zone für Ihre Gruppe
Bitten Sie das AD DNS-Team, die Änderungsrechte für Ressourceneinträge Ihrer Gruppe zu delegieren.
Erstellen und ändern Sie selbst Ressourceneinträge für Ihre Gruppe im AD DNS
Schlagen Sie die Erstellung eines häufig ausgeführten Verwaltungsskripts vor, das überprüft, ob die von Ihrer Gruppe erstellten Datensätze der Delegationsrichtlinie entsprechen (d. h. auf Hosts in Ihren Domänen verweisen).
Konfigurieren Sie Ihren Linux-DNS-Server neu, sodass er entweder Abfragen einfach an die AD-DNS-Server weiterleitet oder als sekundärer Server agiert, indem er die Daten der Zone von einem der AD-DNS-Primärserver abruft (wenn die DNS-Zone in AD integriert ist, fungieren alle AD-DNS-Server als Primärserver).

Question 3

Ich kann nicht sagen, wie Active Directory konfiguriert werden müsste, um Ihnen die Fernverwaltung und -automatisierung der Domäne mithilfe von zu ermöglichen nsupdate.

Was ichdürfenIch sage Ihnen, dass Sie den Aufwand etwas reduzieren können, indem Sie NSdie einzelnen Datensätze untereinander delegieren und niemals statische Aoder CNAMEDatensätze für Daten definieren, die Ihr Team nicht verwaltet.

Stellen Sie sich vor, Sie haben Folgendes in Active Directory:

example.com. SOA dc1.example.com. hostmaster.example.com. 2015022400 28800 7200 604800 300
     IN NS dc1.example.com.
     IN NS dc2.example.com.
     IN MX 10 mail.example.com.
www  IN NS ns1
ftp  IN NS ns1
mail IN  A 198.18.0.10

dc1  IN  A 198.18.0.150
ns1  IN  A 198.18.0.250

mail, ns1, und dc1sind statisch definierte Datensätze.
wwwund ftpwurden an delegiert ns1.example.com., was wir als autoritativen Linux-DNS-Server bezeichnen.
Da der DC normalerweise eine gemischte DNS-Serverrolle (sowohl rekursiv als auch autoritativ) einnimmt, lösen Anfragen für wwwund eine Rekursion aus und führen dazu, dass nach der Antwort gefragt wird. Dies ist erfolgreich, vorausgesetzt, es gibt eine Firewall, die den Datenverkehr von den DCs zulässt .ftpns1.example.comns1

Das ist immer noch ein Problem: Sie müssen Datensätze auf dem Remote-Server definieren. Was SieSindDas Wichtigste ist, dass man Eigentümer einzelner Datensätze ist. Wenn die IP-Adresse für einen dieser Datensätze geändert werden muss, muss diese Änderung nicht auf beiden Seiten des Zauns vorgenommen werden. Das funktioniert zumindest, bis jemand sub.ftp.example.comden DC definieren möchte. Da ftpdelegiert wurde, sub.ftpwurde auch delegiert und es gibt keine Möglichkeit, es lokal zu verwalten.

Answer

Ich kann nicht sagen, wie Active Directory konfiguriert werden müsste, um Ihnen die Fernverwaltung und -automatisierung der Domäne mithilfe von zu ermöglichen nsupdate.

Was ichdürfenIch sage Ihnen, dass Sie den Aufwand etwas reduzieren können, indem Sie NSdie einzelnen Datensätze untereinander delegieren und niemals statische Aoder CNAMEDatensätze für Daten definieren, die Ihr Team nicht verwaltet.

Stellen Sie sich vor, Sie haben Folgendes in Active Directory:

example.com. SOA dc1.example.com. hostmaster.example.com. 2015022400 28800 7200 604800 300
     IN NS dc1.example.com.
     IN NS dc2.example.com.
     IN MX 10 mail.example.com.
www  IN NS ns1
ftp  IN NS ns1
mail IN  A 198.18.0.10

dc1  IN  A 198.18.0.150
ns1  IN  A 198.18.0.250

mail, ns1, und dc1sind statisch definierte Datensätze.
wwwund ftpwurden an delegiert ns1.example.com., was wir als autoritativen Linux-DNS-Server bezeichnen.
Da der DC normalerweise eine gemischte DNS-Serverrolle (sowohl rekursiv als auch autoritativ) einnimmt, lösen Anfragen für wwwund eine Rekursion aus und führen dazu, dass nach der Antwort gefragt wird. Dies ist erfolgreich, vorausgesetzt, es gibt eine Firewall, die den Datenverkehr von den DCs zulässt .ftpns1.example.comns1

Das ist immer noch ein Problem: Sie müssen Datensätze auf dem Remote-Server definieren. Was SieSindDas Wichtigste ist, dass man Eigentümer einzelner Datensätze ist. Wenn die IP-Adresse für einen dieser Datensätze geändert werden muss, muss diese Änderung nicht auf beiden Seiten des Zauns vorgenommen werden. Das funktioniert zumindest, bis jemand sub.ftp.example.comden DC definieren möchte. Da ftpdelegiert wurde, sub.ftpwurde auch delegiert und es gibt keine Möglichkeit, es lokal zu verwalten.

Windows DNS: Gibt es eine Möglichkeit, eine Domäne basierend auf Subnetzen zu partitionieren?

Antwort1

Antwort2

Antwort3

verwandte Informationen