Sufixo DNS específico da conexão que muda automaticamente

2

Recentemente, estamos com um problema com o "Sufixo DNS específico da conexão" mudando automaticamente para um domínio inválido em nossa rede.

Quando um sistema se conecta à rede, nosso servidor DHCP fornece o sufixo de nome de domínio correto usando a opção 15 (DNS Domain Name) = our-domain.com ... isso pode ser verificado imediatamente após obter um ip com ipconfig / tudo:

Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix : our-domain.com

Após vários minutos, algum processo de descoberta automática encontra um novo sufixo dns específico da conexão (errado) e atualiza a configuração ip com as novas informações. Após esta atualização com a informação errada, ipconfig / all muda para mostrar:

Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix : novalocal

Quando esse domínio "novalocal" é descoberto, muitos dos meus clientes começam a ter problemas de pesquisa de nome.

Isso está acontecendo com os clientes do Windows 7 e verifiquei que o problema ocorre com ou sem o Bonjour instalado. Ainda não tentei desabilitar os serviços SSDP ou UPnP. Está acontecendo em clientes com firewall da Symantec ou firewall do Windows ativado.

Eu verifiquei servidores DHCP desonestos, e as ofertas / concessões são provenientes apenas dos meus servidores DHCP autorizados (nenhum ladino é visto ou envia ofertas na rede).

Alguém viu algo assim antes? Alguma sugestão sobre como eu posso encontrar onde este "novalocal" está vindo e como impedir que meus clientes tenham suas configurações de sufixo DNS alteradas por alguma descoberta automática?

    
por Mister_Tom 22.06.2012 / 18:35

1 resposta

3

Eu encontrei o problema, era um servidor DHCP desonesto. Um estagiário estava experimentando o sistema de nuvem "Open Stack", cujo padrão configura um servidor DHCP. Eu acho que ele tentou isolá-lo da rede, mas não fez um bom trabalho porque algumas mensagens aleatórias de DHCP entre seu servidor e clientes estavam entrando na rede principal e configurando apenas o nome de domínio (não um ip) no meu computador. clientes. O mais estranho é que ele não estava respondendo a solicitações DHCP normais de clientes na minha sub-rede, ele deve ter parcialmente isolado seu tráfego "Open Stack".

Nós o encontramos com um rastreamento de pacote no wireshark e procurando pela string "novalocal" nos detalhes do pacote. Ele apareceu em alguns pacotes DHCP, SSDP, LLMNR e NBNS para nos fornecer alguns endereços IP e MAC para procurar. Então eu vi a tabela mac em meus switches para encontrar sua porta e ir conversar sobre os problemas de rede que o teste estava causando. Estamos isolando a rede de teste dele com um roteador separado para evitar mais vazamentos de seu tráfego de transmissão local na minha LAN.

    
por 26.06.2012 / 20:27