Windows AD DNS fügt automatisch PTR-Einträge für CNAMEs hinzu und ich möchte dies stoppen

tag-icon tag-icon active-directory windows-server-2012-r2 cname-record reverse-dns ptr-record
Windows AD DNS fügt automatisch PTR-Einträge für CNAMEs hinzu und ich möchte dies stoppen

Vorwort: Ich bin kein Windows-Administrator. Ich bin ein Linux-Administrator.

Ich habe einen Windows 2016-Server mit AD DNS, der interne DNS-Vorwärts- und Rückwärtssuchen verarbeitet.

Irgendwo, irgendwie fügt ein Prozess automatisch PTR-Reverse-Lookup-Einträge für CNAMEs hinzu. Dies unterbricht unsere Kerberos-Authentifizierung für SSH zwischen Servern, da die kanonische Suche eines Hosts mit CNAMEs zu viele FQDNs zurückgibt und Kerberos zurückschlägt.

Das Kerberos-SSH-Problem wurde behoben, als ich die CNAME-Reverse-Lookups entfernte.

Dann, am nächsten Tag, presto! Alle PTR -> CNAME-Einträge waren wieder im AD DNS

Beispiel von oben (ich habe die Namen geändert, damit sie allgemeiner Natur sind, aber der allgemeine Aufbau ist derselbe):

Zwei Netzwerkbetriebsboxen, auf denen SMTP und Squid-Proxy laufen, haben A-Einträge

netops01.example.com -> 10.1.2.3
netops02.example.com -> 10.4.5.6

Und diese gleiche Box hat CNAMEs

netops
proxy
mailserver

Aus irgendeinem Grund gibt es in AD DNS Reverse-Lookup-Einträge wie die folgenden:

3.2.1.10.in-addr.arpa. 3600 IN  PTR netops.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR proxy.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR mailserver.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR netops01.example.com

Der letzte Eintrag ist der A-Eintrag für diesen Host. Alle anderen sind CNAMEs für diesen A-Eintrag + einen weiteren A-Eintrag für den zweiten Host.

Weder ich noch der andere Administrator, der sich um die Operationen kümmert, haben diese erstellt. Wir haben auch keine geplante Aufgabe eingerichtet, um Reverse Lookups neu zu erstellen. Ich kann mir auch keinen guten Grund vorstellen, einen Reverse Lookup auf CNAMEs oder mehrere Ergebnisse verweisen zu lassen. (Vielleicht gibt es einen guten Grund? Ich habe das allerdings noch nie gemacht.)

Also habe ich alle Reverse-Lookups außer dem A-Record gelöscht. Kerberos SSH funktioniert!

Am nächsten Tag wurden alle Unterlagen zurückgegeben.

Ich bin nicht einmal sicher, wie ich unter Windows das Problem beheben kann (daher mein Vorwort oben).

  • Wie kann ich in den Windows-Protokollen herausfinden, wer diese Aktion ausgeführt hat?
  • Gibt es etwas am Windows DNS, das dies automatisch erledigt? (PTRs für CNAMEs erstellen)
  • Gibt es eine Möglichkeit, das auszuschalten?
  • Verpasse ich sonst noch etwas?

Antwort1

Ich selbst antworte

Ich habe gefunden, was mir fehlte. Zwei Dinge:

  1. Dabei handelte es sich tatsächlich nicht um CNAMEs. Es waren A-Einträge mit mehreren Hosts, die zum Zweck des Lastenausgleichs aufgelistet waren.

    Da es sich um A-Einträge handelte, gab es ein Kontrollkästchen mit der Aufschrift „Automatisch zugehörigen PTR-Eintrag erstellen“.

    Ich habe das Häkchen für diese Datensätze entfernt. Das hat das hier beschriebene Problem aber nicht wirklich behoben: Die PTR-Datensätze werden immer noch jeden Morgen neu erstellt.

  2. Jedoch, das ist jedenfalls nicht die Lösung, nach der ich gesucht habe. Das zugrunde liegende Problem war, dass Kerberos nicht funktionierte. Nun, das ließ sich leicht lösen, indem man diese „rdns“-Einstellung zu /etc/krb5.conf hinzufügte

    [libdefaults]

    rdns = falsch

Antwort2

Standardmäßig versucht Windows immer, sowohl Forward- als auch Reverse-Lookups mithilfe von dynamischem DNS zu registrieren.

Sie können diese Funktion entweder auf den Clients deaktivieren, die sich selbst registrieren, oder auf dem DNS-Server oder auf beiden. Die schnellste Möglichkeit, Ihr unmittelbares Problem zu lösen, besteht darin, die dynamische DNS-Unterstützung für die entsprechenden Reverse-Lookup-Zonen zu deaktivieren. Auf lange Sicht möchten Sie sie je nach Ihren Umständen möglicherweise auch in den Forward-Zonen deaktivieren.

Ich habe einen Screenshot gefunden, der die entsprechende Einstellung auf dem DNS-Server zeigtHier. Sie möchten „Keine“ auswählen.

Weitere Informationen zum Deaktivieren dynamischer Updates auf den Clients finden SieHierUndHierDies ist nicht unbedingt erforderlich, andernfalls generieren die Clients jedoch regelmäßig Ereignisprotokollmeldungen, da die dynamischen DNS-Anfragen vom Server abgelehnt werden.

Hinweis:Sie sollten dynamische Updates auf den Active Directory-Domänencontrollern oder für die Active Directory-Zonen, _msdcsdie von den Domänencontrollern zum Speichern von Informationen zur Domäneninfrastruktur verwendet werden, nicht deaktivieren. Dadurch wird Active Directory beschädigt.

verwandte Informationen