Prefácio: Não sou administrador do Windows. Eu sou um administrador Linux.
Eu tenho um servidor Windows 2016 com AD DNS que lida com pesquisas internas de DNS direto e reverso.
Em algum lugar, de alguma forma, algum processo está adicionando automaticamente registros de pesquisa reversa PTR para CNAMEs. Isso está quebrando nossa autenticação Kerberos para SSH entre servidores, pois a pesquisa canônica de um host que possui CNAMEs retornará muitos FQDNs e o Kerberos hesitará.
O problema do Kerberos SSH foi resolvido quando removi as pesquisas reversas do CNAME.
Então, no dia seguinte, pronto! todas as entradas PTR -> CNAME estavam de volta no AD DNS
Exemplo, de cima para baixo (mudei os nomes para serem genéricos, mas a configuração geral é a mesma):
Um par de caixas de operações de rede que executam SMTP e proxy Squid possuem registros A
netops01.example.com -> 10.1.2.3
netops02.example.com -> 10.4.5.6
E esta mesma caixa tem CNAMEs
netops
proxy
mailserver
Por algum motivo, existem entradas de pesquisa reversa no AD DNS assim:
3.2.1.10.in-addr.arpa. 3600 IN PTR netops.example.com
3.2.1.10.in-addr.arpa. 3600 IN PTR proxy.example.com
3.2.1.10.in-addr.arpa. 3600 IN PTR mailserver.example.com
3.2.1.10.in-addr.arpa. 3600 IN PTR netops01.example.com
A última entrada é o registro A deste host. Todos os outros são CNAMEs para esse registro A + outro registro A para o segundo host.
Nem eu nem o outro administrador que cuida das operações os criamos. Nem configuramos nenhuma tarefa agendada para recriar pesquisas reversas. Também não consigo imaginar um bom motivo para ter um ponto de pesquisa reversa para CNAMEs ou para vários resultados. (Talvez haja um bom motivo? Mas nunca fiz isso antes)
Então, excluí todas as pesquisas reversas, exceto a do registro A. Kerberos SSH funciona!
No dia seguinte, todos os registros retornaram.
Eu nem tenho certeza de como solucionar problemas no Windows (daí meu prefácio no topo)
- Como posso encontrar nos logs do Windows o que executou esta ação?
- Existe algo no DNS do Windows que faria isso automaticamente? (Criar PTRs para CNAMEs)
- Existe uma maneira de desligar isso?
- Mais alguma coisa que estou perdendo?
Responder1
Respondendo a mim mesmo
Eu encontrei o que estava faltando. Duas coisas:
Na verdade, não eram CNAMEs. Eles eram registros A com vários hosts listados para fins de balanceamento de carga.
Como eram registros A, eles tinham uma caixa de seleção semelhante a "criar automaticamente registro PTR relacionado"
Desmarquei isso para esses registros. Na verdade, isso não parece resolver o problema descrito aqui: os registros PTR ainda estão sendo reconstruídos todas as manhãs.
No entanto, essa não é a solução que eu estava procurando, de qualquer maneira. O problema subjacente era que o Kerberos não estava funcionando. Bem, isso foi fácil de resolver adicionando esta configuração "rdns" ao /etc/krb5.conf
[libdefaults]
rdns = falso
Responder2
Por padrão, o Windows sempre tenta registrar pesquisas diretas e reversas usando DNS dinâmico.
Você pode desativar essa funcionalidade nos clientes que estão se registrando, no servidor DNS ou em ambos. A maneira mais rápida de resolver seu problema imediato seria desabilitar o suporte DNS dinâmico para as zonas de pesquisa reversa relevantes. No longo prazo, dependendo das circunstâncias, você também pode querer desativá-lo nas zonas avançadas.
Encontrei uma captura de tela mostrando a configuração relevante no servidor DNSaqui. Você deseja selecionar "Nenhum".
Há mais informações sobre como desabilitar a atualização dinâmica nos clientesaquieaqui. Isso não é essencial, mas caso contrário os clientes gerarão mensagens periódicas de log de eventos porque as solicitações dinâmicas de DNS estão sendo rejeitadas pelo servidor.
Observação:você não deve desabilitar atualizações dinâmicas nos controladores de domínio do Active Directory ou nas zonas do Active Directory, como _msdcsas usadas pelos controladores de domínio para armazenar informações sobre a infraestrutura do domínio. Isso quebrará o Active Directory.