Prefácio: Eu não sou um administrador do Windows. Eu sou um administrador do Linux.
Eu tenho um servidor do Windows 2016 com DNS do AD que lida com pesquisas de redirecionamento e encaminhamento de DNS interno.
Em algum lugar, de alguma forma, algum processo está adicionando automaticamente registros de pesquisa reversa PTR para CNAMEs. Isso está quebrando nossa autenticação Kerberos para SSH entre servidores, já que a pesquisa canônica de um host que possui CNAMEs retornará muitos FQDNs e o Kerberos é recusado.
O problema do SSH do Kerberos foi resolvido quando removi as pesquisas inversas do CNAME.
Então, no dia seguinte, pronto! todo o PTR - > As entradas do CNAME estavam de volta no DNS do AD
Exemplo, da parte superior (alterei os nomes para genéricos, mas a configuração geral é a mesma):
Um par de caixas de operações de rede que executam o SMTP e o proxy Squid têm registros A
netops01.example.com -> 10.1.2.3
netops02.example.com -> 10.4.5.6
E esta mesma caixa tem CNAMEs
netops
proxy
mailserver
Por algum motivo, existem entradas de pesquisa inversa no DNS do AD assim:
3.2.1.10.in-addr.arpa. 3600 IN PTR netops.example.com
3.2.1.10.in-addr.arpa. 3600 IN PTR proxy.example.com
3.2.1.10.in-addr.arpa. 3600 IN PTR mailserver.example.com
3.2.1.10.in-addr.arpa. 3600 IN PTR netops01.example.com
A última entrada é o registro A deste host. Todos os outros são CNAMEs para esse registro A + outro registro A para o segundo host.
Nem eu nem o outro administrador que lida com os ops criaram isso. Também não configuramos nenhuma tarefa agendada para recriar pesquisas inversas. Nem posso imaginar um bom motivo para ter um ponto de pesquisa inversa para CNAMEs ou para vários resultados. (Talvez haja uma boa razão? Eu nunca fiz isso antes, no entanto)
Então, eu deletei todas as pesquisas reversas, exceto a de registro A. O SSH Kerberos funciona!
No dia seguinte, todos os registros retornaram.
Eu nem sei como no Windows solucionar problemas (assim, meu prefácio no topo)
- Como posso encontrar nos registros do Windows o que realizou esta ação?
- Existe algo no DNS do Windows que faria isso automaticamente? (Criar PTRs para CNAMEs)
- Existe uma maneira de desativar isso?
- Algo mais que eu esteja sentindo falta?