Предисловие: Я не администратор Windows. Я администратор Linux.
У меня есть сервер Windows 2016 с AD DNS, который обрабатывает внутренние прямые и обратные запросы DNS.
Где-то, как-то, какой-то процесс автоматически добавляет записи обратного поиска PTR для CNAME. Это нарушает нашу аутентификацию Kerberos для SSH между серверами, поскольку канонический поиск хоста, имеющего CNAME, вернет слишком много FQDN, и Kerberos заблокируется.
Проблема Kerberos SSH была решена, когда я удалил обратные просмотры CNAME.
Затем, на следующий день, вуаля! все записи PTR -> CNAME вернулись в AD DNS
Пример сверху (я изменил названия, чтобы они были общими, но общая схема та же):
Пара сетевых операционных блоков, которые запускают SMTP и прокси-сервер Squid, имеют записи A
netops01.example.com -> 10.1.2.3
netops02.example.com -> 10.4.5.6
И в этом же ящике есть CNAME
netops
proxy
mailserver
По какой-то причине в AD DNS есть записи обратного просмотра, например:
3.2.1.10.in-addr.arpa. 3600 IN PTR netops.example.com
3.2.1.10.in-addr.arpa. 3600 IN PTR proxy.example.com
3.2.1.10.in-addr.arpa. 3600 IN PTR mailserver.example.com
3.2.1.10.in-addr.arpa. 3600 IN PTR netops01.example.com
Последняя запись — это запись A для этого хоста. Все остальные — это CNAME для этой записи A + еще одна запись A для второго хоста.
Ни я, ни другой администратор, который управляет операциями, не создавали их. Мы также не настраивали никаких запланированных задач для воссоздания обратных просмотров. И я не могу представить себе вескую причину для того, чтобы иметь обратную точку просмотра для CNAME или для нескольких результатов. (Может быть, есть веская причина? Я никогда этого раньше не делал.)
Итак, я удалил все обратные просмотры, кроме записи A. Kerberos SSH работает!
На следующий день все записи вернулись.
Я даже не уверен, как устранить неполадки в Windows (поэтому мое предисловие вверху)
- Как найти в журналах Windows, кто выполнил это действие?
- Есть ли что-то в Windows DNS, что автоматически делает это? (Создание PTR для CNAME)
- Есть ли способ это отключить?
- Что-то еще я упустил?
решение1
Отвечаю себе
Я нашел то, чего мне не хватало. Две вещи:
На самом деле это были не CNAME. Это были записи A с несколькими хостами, перечисленными для балансировки нагрузки.
Поскольку это были A-записи, у них был флажок «автоматически создавать связанную PTR-запись».
Я снял этот флажок для этих записей. Это, похоже, не решило описанную здесь проблему: записи PTR все еще перестраиваются каждое утро.
Однако, это не то решение, которое я искал, в любом случае. Основная проблема была в том, что Kerberos не работал. Ну, это было легко решить, добавив эту настройку "rdns" в /etc/krb5.conf
[libdefaults]
rdns = ложь
решение2
По умолчанию Windows всегда пытается регистрировать как прямой, так и обратный поиск с использованием динамического DNS.
Вы можете отключить эту функцию либо на регистрирующихся клиентах, либо на DNS-сервере, либо на обоих. Самый быстрый способ решить вашу непосредственную проблему — отключить поддержку динамического DNS для соответствующих зон обратного просмотра. В долгосрочной перспективе, в зависимости от ваших обстоятельств, вы можете захотеть отключить ее и в зонах прямого просмотра.
Я нашел скриншот, показывающий соответствующую настройку на DNS-сервере.здесь. Вы хотите выбрать «Нет».
Дополнительная информация об отключении динамического обновления на клиентахздесьиздесь. Это не обязательно, но в противном случае клиенты будут генерировать периодические сообщения журнала событий, поскольку динамические DNS-запросы отклоняются сервером.
Примечание:не следует отключать динамические обновления на контроллерах домена Active Directory или для зон Active Directory, которые _msdcsиспользуются контроллерами домена для хранения информации об инфраструктуре домена. Это нарушит работу Active Directory.