donderdag 5 juni 2008 20:12

Acties:
  • rfoppen
  • Registratie: December 2000
  • Laatst online: 05-02 14:01

rfoppen

Topicstarter
Wij gebruiken windows 2003 DNS, met dynamische zones. DHCP stuurt update verzoeken voor alle clients.

Heel af en toe gebeurt het dat er een client met de naam LOCALHOST zich aanmeldt bij DHCP, die op zijn beurt DNS update. Alle gevolgen van dien voor een aantal UNIX machines.
Tevens hebben we het record HOME (wat voor een sharepoint site is) dat soms onverwachts wordt overschreven. Als gevolg kunnen gebruikers niet meer bij sharepoint (Meestal gebeurt dit door mensen die via VPN met hun thuis machientjes op het netwerk aanloggen.)

Vraag is; kan ik bepaalde DNS records excluden van het Dynamic DNS process?

Ik heb al geprobeert om de rechten van de destbetreffende records te strippen, maar omdat de DHCP service de aanvraag doet, krijgt deze altijd een OK (soort van System Account).

Spelen met de refresh en no-refresh intervallen leveren ook weinig op.

Googlen leverde alleen een aantal regkey's voor op de clients (DisableReplaceAddressesInConflicts bv) maar de clients zijn vaak niet door ons te beheren (zoals gezegd vaak prive machines die even snel een VPN opzetten) .
Ook zijn er een aantal links te vinden die er voor zorgen dat Domein Controllers hun SRV records niet registeren etc etc maar niks echt bruikbaars.

Mocht iemand een idee hebben, of als ik iets vreselijk over het hoofd zie hoor ik het graag :)

Appels zijn geen peren

donderdag 5 juni 2008 20:31

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

De beste oplossing lijkt me toch echt je DDNS scheiden van je statische DNS.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 5 juni 2008 21:34

Acties:
  • rfoppen
  • Registratie: December 2000
  • Laatst online: 05-02 14:01

rfoppen

Topicstarter
Hebben we overnagedacht, maar met de platte setup die wij intern hebben wordt dat erg lastig. Op dit moment hebben we 23000 (23 duizend ja) records in de desbetreffende zone (buiten de 40+ andere DNS zones die we intern hebben). Dat is niet 1 2 3 te veranderen.

Appels zijn geen peren

vrijdag 6 juni 2008 10:24

Acties:
  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 13:56

SpamLame

niks

Is het een optie om localhost via /etc/hosts te laten resolven voor alle unices?
Resolve.conf dan wel aanpasen naar "files dns".
Is meer een workaround dan oplossing, maar goed.

vrijdag 6 juni 2008 13:36

Acties:
  • rfoppen
  • Registratie: December 2000
  • Laatst online: 05-02 14:01

rfoppen

Topicstarter
Voor de meer kritische systemen is dat inderdaad gedaan (weet niet precies hoe, ben niet zo van de UNIX :))

Voor het andere record gaat dat echter niet op. Blijven nog maar even doorzoeken ;(

Appels zijn geen peren

vrijdag 6 juni 2008 20:29

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:34

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

rfoppen schreef op donderdag 05 juni 2008 @ 20:12:Wij gebruiken windows 2003 DNS, met dynamische zones. DHCP stuurt update verzoeken voor alle clients.
Waarom zet je dat laatste niet uit dan? Door vervolgens met secure dynamic update te werken kom je een heel eind...

http://www.microsoft.com/...cf_imp_eqjg.mspx?mfr=true
Secure dynamic update works like dynamic update, with the following exception: the authoritative name server accepts updates only from clients and servers that are authorized to make dynamic updates to the dnsZone and dnsNode objects.

Secure dynamic update provides the following benefits:

• Protects zones and resource records from being modified by users without authorization.
• Enables you to specify exactly which users and groups can modify zones and resource records.
Waarom zou je overigens clients (die je toch niet beheert), A-records aan laten maken in je DNS-zones?

[ Voor 5% gewijzigd door Question Mark op 06-06-2008 20:31 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zaterdag 7 juni 2008 15:58

Acties:
  • rfoppen
  • Registratie: December 2000
  • Laatst online: 05-02 14:01

rfoppen

Topicstarter
/edit Hoop gezwam.

Hmmm nice work-around. Kan inderdaad, alleen de VPN scope (waar het in deze omgaat) de boel niet laten auto-updaten. De zone is al secure, dus alles wat niet een member van het domain is, kan in principe niets updaten (wat inderdaad niet nodig is)

De vraag; kan ik specifieke records van het Dynamic DNS process excluden blijft interessant :)

Begint het idee te krijgen dat (MS) DNS hier simpelweg geen optie voor heeft (wellicht door gebrek aan noodzaak :))

[ Voor 59% gewijzigd door rfoppen op 07-06-2008 16:02 ]

Appels zijn geen peren

zondag 8 juni 2008 15:49

Acties:
  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 25-01 15:50

paulhekje

Je kunt met ADSI edit de DNS management console in "Advanced View", de security aanpassen van de records, doe dit alleen met bepaalde statische entries.

[ Voor 90% gewijzigd door paulhekje op 09-06-2008 07:40 ]

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq