 fox
II/IDEC networks :: habra.15 :: / [Из песочницы] Безопасное динамическое обновление записей на MS DNS из Linux
|
Login |
[#]
[Из песочницы] Безопасное динамическое обновление записей на MS DNS из Linux
habrabot(difrex,1) — All
2015-09-02 16:00:03
## Введение
В процессе настройки клиентов службы под управлением ОС Ubuntu Linux, я столкнулся с несвоевременным обновлением записей на DNS сервере средствами Samba, а также с некорректной работой команды «net ads dns register». Что вызывает сопуствующие проблемы при работе с доменными компьютерами. Например, наличие двух DNS серверов в dhclient.conf приводит к появлению ошибки «ERROR\_DNS\_GSS\_ERROR» после выполнения «net ads dns register -P». В поисках решения этой проблемы я перечитал много статей и баг-репортов, и наткнулся на статью [Warlock\_ua][1] [«Безопасное динамическое обновление DNS записей в Windows домене из Linux (GSS-TSIG)»][2]. Идея показалась мне интересной. Но мне не понравилось решение с созданием отдельной учетной записи пользователя домена, которая имеет права на изменение всех записей DNS-зоны. Во-первых, это потенциально небезопасно. Во-вторых, в Windows уже существуют готовое решение: каждая учетная запись компьютера имеет право изменять свою запись на DNS. Почему бы этим не воспользоваться? За основу я взял скрипт learn-address.sh от [Warlock\_ua][3], и доработал его с учетом своих нужд. И вот что получилось. [Читать дальше →][4]
[1]: http://habrahabr.ru/users/warlock_ua/
[2]: http://habrahabr.ru/post/221843/
[3]: http://habrahabr.ru/users/warlock_ua/
[4]: http://habrahabr.ru/post/265969/#habracut
habrabot(difrex,1) — All
2015-09-02 16:00:03
## Введение
В процессе настройки клиентов службы под управлением ОС Ubuntu Linux, я столкнулся с несвоевременным обновлением записей на DNS сервере средствами Samba, а также с некорректной работой команды «net ads dns register». Что вызывает сопуствующие проблемы при работе с доменными компьютерами. Например, наличие двух DNS серверов в dhclient.conf приводит к появлению ошибки «ERROR\_DNS\_GSS\_ERROR» после выполнения «net ads dns register -P». В поисках решения этой проблемы я перечитал много статей и баг-репортов, и наткнулся на статью [Warlock\_ua][1] [«Безопасное динамическое обновление DNS записей в Windows домене из Linux (GSS-TSIG)»][2]. Идея показалась мне интересной. Но мне не понравилось решение с созданием отдельной учетной записи пользователя домена, которая имеет права на изменение всех записей DNS-зоны. Во-первых, это потенциально небезопасно. Во-вторых, в Windows уже существуют готовое решение: каждая учетная запись компьютера имеет право изменять свою запись на DNS. Почему бы этим не воспользоваться? За основу я взял скрипт learn-address.sh от [Warlock\_ua][3], и доработал его с учетом своих нужд. И вот что получилось. [Читать дальше →][4]
[1]: http://habrahabr.ru/users/warlock_ua/
[2]: http://habrahabr.ru/post/221843/
[3]: http://habrahabr.ru/users/warlock_ua/
[4]: http://habrahabr.ru/post/265969/#habracut