Adicione o registro DNS à zona que não administro

1

TL; DR - Eu quero adicionar um registro de serviço DNS a uma zona que nossa empresa controladora administra em nosso servidor DNS local, já que a empresa controladora não ajuda, mas não deseja manter um cópia inteira de sua zona primária para fazê-lo.

História completa

Eu gerencio um pequeno escritório remoto (nossa empresa acaba de ser adquirida por uma grande empresa) com 20 pessoas e muitos servidores locais para fins de engenharia e testes. Eu tenho uma configuração de máquina do Windows Server 2008 com o DNS em execução que resolve todos os nossos nomes locais e, em seguida, encaminha todos os outros nomes desconhecidos até o servidor DNS interno da megacorp por meio de encaminhamento no nível do servidor. Até agora isso funciona muito bem.

No entanto, nós aqui na minicorp recentemente mudamos para o servidor Exchange da megacorp. Quando configuramos nossos clientes do Outlook para se conectar ao servidor Exchange, podemos nos conectar, mas recebemos o infame aviso "o nome no certificado de segurança é inválido ou não corresponde". Isso ocorre porque o nome de domínio no certificado que o megacorp usa não corresponde ao nome de domínio para uso no mecanismo de descoberta automática do Outlook. Para a maioria dos usuários da megacorp, isso não é um problema, já que eles estão no diretório ativo, o que elimina a URL de autodiscovery adequada via SCP. Como nós aqui na minicorp não entraremos no AD por um tempo, estamos presos a esse problema.

A Microsoft descreve algumas maneiras de corrigi-lo aqui: link

O pessoal de TI da Megacorp está sobrecarregado com questões de maior prioridade (bom modo de dizer que eles não ajudam a minicorp para este problema) então eu preciso descobrir uma maneira de resolver isso sem exigir que eles façam alterações.

De acordo com o artigo da Microsoft, a maneira 'correta' de lidar com isso é via SCP, mas como o AD não é uma opção, não podemos seguir esse caminho. Então, o Outlook cai para a opção # 3, que tenta a URL autodiscover.megacorp.com, que funciona, mas resulta no aviso de certificado. Além disso, para fazer esse trabalho, tive que adicionar uma zona autodiscover.megacorp.com ao meu servidor DNS local, pois esse nome não resolve no servidor DNS da megacorp por algum motivo.

A próxima opção, de acordo com esse artigo, é usar um registro de serviço DNS para fornecer a URL de autodescoberta apropriada que corresponda ao nome no certificado SSL. O problema é que eu não administro a zona primária para o domínio do megacorp que finalmente me leva à minha pergunta ... Posso criar um registro DNS de serviço para uma zona que não gerenciei? Semelhante a como eu criei uma zona 'autodiscover.megacorp.com' que contém apenas o endereço IP correto para esse nome, mas todas as outras solicitações de nome sob o domínio megacorp.com são encaminhadas para o servidor DNS da megacorp, poderia fazer algo assim, mas com um registro de serviço? É como se eu quisesse 'subclassificar' o DNS do megacorp para que eu pudesse estendê-lo para fornecer meus próprios registros.

Existe tal coisa ou estou indo na direção errada? Talvez exista uma maneira diferente de resolver esse erro de certificado? Eu percebo que a maneira correta de lidar com isso é para a TI da megacorp implementar isso corretamente, mas ... sim ...

Obrigado por levar comigo esta questão; foi muito mais trabalhoso do que eu pretendia.

    
por minicorpit 15.04.2016 / 16:04

2 respostas

1

Sua ideia funcionará. Contanto que você controle os servidores DNS usados pelos clientes que precisa manipular, não há nada que o impeça de interceptar as consultas e responder da maneira que quiser.

Esta resposta vem com três advertências:

  1. É evidente que esta é uma opção de último recurso. Certifique-se de ter uma boa ideia de como os administradores de DNS da Megacorp vão responder quando souberem que você está interceptando os registros DNS que eles gerenciam.
  2. Não seja um pau. Se a Megacorp corrigir o problema, você deve priorizar parar de fazer isso e liberar o controle de seus dados DNS de volta para eles.
  3. A interceptação deve ser o mais específica possível . Se você assumir o controle de blah.example.com , estará interceptando todas as consultas à esquerda de blah , não apenas blah . Você está assumindo o controle de um subdomínio inteiro, não apenas de uma combinação específica de nome e tipo de registro.

Por último, há uma advertência específica do Windows aqui: o snap-in do DNS não pode ser usado para criar um registro apex SRV . Você pode usá-lo para criar a zona, mas o registro em si terá que ser preenchido usando a linha de comando .

Com isso em mente:

  • Crie uma zona de pesquisa direta com o nome exato do registro que você está interceptando. Se você estiver tentando interceptar um registro SRV chamado _service._proto.example.com , crie uma zona denominada _service._proto.example.com . Seguindo a regra nº 3, evite _proto.example.com e example.com . Fazer isso acabaria interceptando muito mais do que o tráfego que você está tentando capturar.
  • Defina o registro SRV no nível superior da zona usando a linha de comando:

dnscmd /recordadd _autodiscover._tcp.example.com @ SRV 0 0 443 mail.example.com.

    
por 15.04.2016 / 18:40
-1

Acho que se isso fosse possível, seria uma grande vulnerabilidade de segurança com o DNS - você poderia colocar algumas entradas estáticas nos arquivos do host se fosse um pequeno escritório ou suprimir o aviso.

link

Método 4: Configurar o Outlook para permitir a conexão ao nome de domínio incompatível

ImportanteEsta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, podem ocorrer sérios problemas se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas cuidadosamente. Para proteção adicional, faça o backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft: 322756 Como fazer backup e restaurar o registro no Windows Para configurar o Outlook para ignorar a incompatibilidade de nomes e se conectar a um ponto de extremidade HTTP específico, você pode definir ou implantar um valor do Registro. Para fazer isso, siga estas etapas: Feche o Outlook. Inicie o Editor do Registro. Para fazer isso, use um dos seguintes procedimentos, conforme apropriado para sua versão do Windows. Windows 10 e Windows 8: Pressione a tecla Windows + R para abrir uma caixa de diálogo Executar. Digite regedit.exe e pressione OK. Windows 7: Clique em Iniciar, digite regedit.exe na caixa de pesquisa e pressione Enter. Localize e, em seguida, clique para selecionar a seguinte subchave do Registro: HKEY_CURRENT_USER \ Software \ Microsoft \ Escritório \ xx.0 \ Outlook \ AutoDiscover \ RedirectServers Nota Também pode utilizar a seguinte subchave do registo: HKEY_CURRENT_USER \ Software \ Diretivas \ Microsoft \ Office \ xx.0 \ Outlook \ Detecção automática \ RedirectServers Onde xx é 12.0 para o Outlook 2007, 14.0 para o Outlook 2010, 15.0 para o Outlook 2013 e 16.0 para o Outlook 2016 Clique no menu Editar, aponte para Novo e clique em Valor da seqüência. Digite o nome do servidor HTTPS ao qual AutoDiscover pode ser conectado sem aviso para o usuário e, em seguida, pressione ENTER. Por exemplo, para permitir uma conexão com o link , o primeiro nome de String Value (REG_SZ) seria o seguinte:

contoso.com Você não precisa adicionar texto à caixa Dados do valor. A coluna Data deve permanecer vazia para os valores de string que você cria. Para adicionar mais servidores HTTPS aos quais o AutoDiscover pode se conectar sem exibir um aviso, repita as etapas 4 e 5 para cada servidor. No menu Arquivo, clique em Sair para sair do Editor do Registro.

    
por 15.04.2016 / 17:52