O Windows AD DNS está adicionando automaticamente registros PTR para CNAMEs e eu quero que isso pare

3

Prefácio: Eu não sou um administrador do Windows. Eu sou um administrador do Linux.

Eu tenho um servidor do Windows 2016 com DNS do AD que lida com pesquisas de redirecionamento e encaminhamento de DNS interno.

Em algum lugar, de alguma forma, algum processo está adicionando automaticamente registros de pesquisa reversa PTR para CNAMEs. Isso está quebrando nossa autenticação Kerberos para SSH entre servidores, já que a pesquisa canônica de um host que possui CNAMEs retornará muitos FQDNs e o Kerberos é recusado.

O problema do SSH do Kerberos foi resolvido quando removi as pesquisas inversas do CNAME.

Então, no dia seguinte, pronto! todo o PTR - > As entradas do CNAME estavam de volta no DNS do AD

Exemplo, da parte superior (alterei os nomes para genéricos, mas a configuração geral é a mesma):

Um par de caixas de operações de rede que executam o SMTP e o proxy Squid têm registros A

netops01.example.com -> 10.1.2.3
netops02.example.com -> 10.4.5.6

E esta mesma caixa tem CNAMEs

netops
proxy
mailserver

Por algum motivo, existem entradas de pesquisa inversa no DNS do AD assim:

3.2.1.10.in-addr.arpa. 3600 IN  PTR netops.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR proxy.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR mailserver.example.com
3.2.1.10.in-addr.arpa. 3600 IN  PTR netops01.example.com

A última entrada é o registro A deste host. Todos os outros são CNAMEs para esse registro A + outro registro A para o segundo host.

Nem eu nem o outro administrador que lida com os ops criaram isso. Também não configuramos nenhuma tarefa agendada para recriar pesquisas inversas. Nem posso imaginar um bom motivo para ter um ponto de pesquisa inversa para CNAMEs ou para vários resultados. (Talvez haja uma boa razão? Eu nunca fiz isso antes, no entanto)

Então, eu deletei todas as pesquisas reversas, exceto a de registro A. O SSH Kerberos funciona!

No dia seguinte, todos os registros retornaram.

Eu nem sei como no Windows solucionar problemas (assim, meu prefácio no topo)

  • Como posso encontrar nos registros do Windows o que realizou esta ação?
  • Existe algo no DNS do Windows que faria isso automaticamente? (Criar PTRs para CNAMEs)
  • Existe uma maneira de desativar isso?
  • Algo mais que eu esteja sentindo falta?
por JDS 31.08.2018 / 17:03

2 respostas

1

Respondendo a mim mesmo

Encontrei o que estava perdendo. Duas coisas:

  1. Estes não eram, de fato, CNAMEs. Eles eram registros A com vários hosts listados para fins de balanceamento de carga.

    Como eram registros A, eles tinham uma caixa de seleção ao longo das linhas de "criar automaticamente um registro PTR relacionado"

    Desmarquei isso para esses registros. Isso não pareceu resolver o problema descrito aqui: os registros PTR ainda estão sendo reconstruídos a cada manhã.

  2. No entanto , essa não é a solução que eu procurava, de qualquer forma. O problema subjacente era que o Kerberos não estava funcionando. Bem, isso foi fácil de resolver adicionando essa configuração "rdns" ao /etc/krb5.conf

    [libdefaults]

    rdns = false

por 05.09.2018 / 20:29
0

Por padrão, o Windows sempre tenta registrar as pesquisas direta e inversa usando DNS dinâmico.

Você pode desabilitar essa funcionalidade nos clientes que estão se registrando, no servidor DNS ou em ambos. A maneira mais rápida de resolver seu problema imediato seria desabilitar o suporte a DNS dinâmico para as zonas de pesquisa inversa relevantes. No longo prazo, dependendo das circunstâncias, você pode querer desativá-lo também nas zonas de encaminhamento.

Encontrei uma captura de tela mostrando a configuração relevante no servidor DNS aqui . Você deseja selecionar "Nenhum".

Há mais informações sobre como desabilitar a atualização dinâmica nos clientes aqui e aqui . Isso não é essencial, mas caso contrário, os clientes gerarão mensagens de log de eventos periódicas, porque as solicitações dinâmicas do DNS estão sendo rejeitadas pelo servidor.

NB: você não deve desabilitar as atualizações dinâmicas nos controladores de domínio do Active Directory ou nas zonas do Active Directory, como _msdcs , usadas pelos controladores de domínio para armazenar informações sobre a infraestrutura do domínio. Isso irá quebrar o Active Directory.

    
por 31.08.2018 / 23:47