Windows AD DNS가 CNAME에 대한 PTR 레코드를 자동으로 추가하고 있으며 이를 중지하고 싶습니다.

Windows AD DNS가 CNAME에 대한 PTR 레코드를 자동으로 추가하고 있으며 이를 중지하고 싶습니다.

서문: 저는 Windows 관리자가 아닙니다. 저는 Linux 관리자입니다.

내부 DNS 정방향 및 역방향 조회를 처리하는 AD DNS가 포함된 Windows 2016 서버가 있습니다.

어딘가에서 일부 프로세스가 CNAME에 대한 PTR 역방향 조회 레코드를 자동으로 추가하고 있습니다. CNAME이 있는 호스트를 정식으로 조회하면 너무 많은 FQDN과 Kerberos 보크가 반환되므로 이로 인해 서버 간 SSH에 대한 Kerberos 인증이 중단됩니다.

CNAME 역방향 조회를 제거하면 Kerberos SSH 문제가 해결되었습니다.

그럼 다음날, 프레스토! 모든 PTR -> CNAME 항목이 AD DNS로 돌아왔습니다.

예를 들어 위에서부터(이름을 일반적인 이름으로 변경했지만 전체 설정은 동일합니다):

SMTP 및 Squid 프록시를 실행하는 한 쌍의 네트워크 작업 상자에는 A 레코드가 있습니다.

netops01.example.com -> 10.1.2.3
netops02.example.com -> 10.4.5.6

그리고 이 동일한 상자에는 CNAME이 있습니다.

netops
proxy
mailserver

어떤 이유로 AD DNS에는 다음과 같은 역방향 조회 항목이 있습니다.

3.2.1.10.in-addr.arpa. 3600 IN  PTR netops.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR proxy.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR mailserver.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR netops01.example.com

마지막 항목은 이 호스트에 대한 A 레코드입니다. 다른 모든 것은 해당 A 레코드에 대한 CNAME + 두 번째 호스트에 대한 다른 A 레코드입니다.

저나 작업을 처리하는 다른 관리자 모두 이 항목을 만들지 않았습니다. 또한 역방향 조회를 다시 생성하기 위해 예약된 작업을 설정하지도 않았습니다. CNAME이나 여러 결과에 대한 역방향 조회 지점을 가져야 할 타당한 이유도 상상할 수 없습니다. (아마도 그럴만한 이유가 있을 것입니다. 하지만 저는 이런 일을 해본 적이 없습니다.)

그래서 A 레코드를 제외한 역조회를 모두 삭제했습니다. Kerberos SSH가 작동합니다!

다음날 기록이 모두 반환되었습니다.

Windows에서 문제를 해결하는 방법조차 잘 모르겠습니다(따라서 내 서문이 맨 위에 있음).

  • 이 작업을 수행한 항목을 Windows 로그에서 어떻게 찾을 수 있습니까?
  • 이 작업을 자동으로 수행하는 Windows DNS 관련 기능이 있습니까? (CNAME에 대한 PTR 생성)
  • 그걸 끄는 방법이 있나요?
  • 내가 놓친 다른 것이 있습니까?

답변1

나 자신에게 대답하기

내가 놓친 것을 찾았습니다. 두가지:

  1. 실제로 이는 CNAME이 아닙니다. 로드 밸런싱을 위해 여러 호스트가 나열된 A 레코드였습니다.

    A 레코드이기 때문에 "관련 PTR 레코드 자동 생성"이라는 확인란이 있습니다.

    이 기록에 대해서는 선택을 취소했습니다. 실제로 여기에 설명된 문제가 해결되지는 않은 것 같습니다. PTR 레코드는 여전히 매일 아침 다시 작성되고 있습니다.

  2. 하지만, 어쨌든 그건 내가 찾던 해결책이 아니었습니다. 근본적인 문제는 Kerberos가 작동하지 않는다는 것입니다. 음, 이 "rdns" 설정을 /etc/krb5.conf에 추가하면 쉽게 해결할 수 있습니다.

    [libdefaults]

    rdns = 거짓

답변2

기본적으로 Windows는 항상 동적 DNS를 사용하여 정방향 조회와 역방향 조회를 모두 등록하려고 시도합니다.

스스로 등록하는 클라이언트나 DNS 서버 또는 둘 다에서 이 기능을 비활성화할 수 있습니다. 즉각적인 문제를 해결하는 가장 빠른 방법은 관련 역방향 조회 영역에 대한 동적 DNS 지원을 비활성화하는 것입니다. 장기적으로는 상황에 따라 포워드 영역에서도 비활성화할 수 있습니다.

DNS 서버의 관련 설정을 보여주는 스크린샷을 찾았습니다.여기. "없음"을 선택하고 싶습니다.

클라이언트에서 동적 업데이트를 비활성화하는 방법에 대한 추가 정보가 있습니다.여기그리고여기. 이는 필수는 아니지만 그렇지 않으면 서버에서 동적 DNS 요청을 거부하기 때문에 클라이언트가 주기적인 이벤트 로그 메시지를 생성하게 됩니다.

참고:_msdcsActive Directory 도메인 컨트롤러 또는 도메인 인프라에 대한 정보를 저장하기 위해 도메인 컨트롤러에서 사용하는 것과 같은 Active Directory 영역에 대한 동적 업데이트를 비활성화해서는 안 됩니다 . 이로 인해 Active Directory가 중단됩니다.

관련 정보