Re: Windows (XP und 2003) als dhcp Client mit ddns
From: Daniel Melanchthon [MSFT] (danielme_at_online.microsoft.com)
Date: 03/13/05
- Next message: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Previous message: Erich Brandis: "Re: Datendurchstz 2 Netzwerkkarten?"
- In reply to: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Next in thread: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Reply: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Messages sorted by: [ date ] [ thread ]
Date: Sun, 13 Mar 2005 12:07:03 +0100
Robert Rakowicz schrieb:
>>Wenn Du den DHCP auch unter Windows einrichtest,...
>
> Das will ich nicht.
Hallo Robert,
das ist natürlich Deine freie Entschiedung :-) Mast Du, wenn Du willst, mal
die Gründe dafür posten? Die würden mich wirklich interessieren.
>>Windows 2000, 2003 und XP können sich selbst automatisch im DNS
>>eintragen -
>>da braucht es keine Updates vom DNS-Server.
>
> Das verstehe ich nicht. Du willst mir doch nicht sagen, dass unter Win
> jeder mir im DNS nach Lust und Laune rumschreiben darf? Na wenn es so
> sein soll (was ich nicht hoffen will) dann werde ich schnell den DNS
> wieder unter Linux aktivieren.
Ich hole mal etwas aus: Der Bind unter Linux erlaubt Dir dynamische
Updates. Damit die Windows-Clients sich im Bind direkt selbst eintragen
können, mußt Du allerdings die unsichere dynamische Aktualisierung erlauben
(allow-update ohne dnssec-keygen), da der Bind nicht GSS-TSIG unterstützt.
Wenn Du also den Windows-Clients erlauben möchtest, sich selbst im DNS
eintragen zu können, dann geht das mit Bind eben nur über unsichere
Updates. Damit können aber Angreifer, die den DNS-Server erreichen können,
*alle* andere Einträge, die Du mit dem allow-update-Statement erfaßt, ändern.
Daher ist diese Lösung imho nicht empfehlenswert.
Du gehst jedoch den Weg über den DHCP-Server. Der DHCP-Server kann auch
vergebene IP-Adressen und die entsprechenden Clientnamen an den DNS-Server
eintragen. Diese Kommunikation kann unter Linux auch gesichert erfolgen.
Somit scheint das ja eine ganz brauchbare Lösung zu sein.
Aber: Wwoher bekommt der DHCP-Server denn den Namen des Clients?
1. Fall: Der Client liefert den Namen bei der DHCP-Anfrage mit. Wie Du Dir
sicher vorstellen kannst, kann eien Angreifer also über DHCP jeden
beliebigen Hostnamen übermitteln und der DHCP-Dienst führt dann das sichere
Update auf dem DNS-Server durch.
2. Fall: Du arbeitest nur mit Reservierungen, in denen Du die MAC-Adresse,
die IP-Adresse und den Hostnamen für jeden Rechner entsprechend einpflegst.
Lösung 1 ist aus Sicherheitsgründen imho nicht empfehlenswert - die
sicheren Updates sind an dieser Sstelle sinnnfrei, weil die DHCP-Anfrage
die unsichere Komponente ist.
Lösung zwei ist administrativer Overkill und ein Rückfall in die
Netzwerk-Steinzeit.
Wenn Du bis hierhin mitgelesen hast, dann gehts mit der Lösung unter
Windows weiter:
Wenn Du DNS und DHCP unter Windows betreibst und die DNS-Zonen nur über
"sichere dynamische Aktualisierungen" aktualisieren läßt, dann können alle
Windows 2000, 2003 und XP-Versionen sich selbst im DNS eintragen (und zwar
sowohl in der Forward-, als auch in der Reverse Lookup-Zone), *wenn* sie
Domänenmitglied sind. Nicht-Domänenmitglieder dürfen im DNS gar nichts
ändern. Möglich macht das die Nutzung von Eigentümerschaft und Rechten
innerhalb der DNS-Zone - dasa ist etwas, was Du bei Bind imho nicht findest.
Weiterhin kannst Du die DNS-Zonendaten über die Active
Directory-Replikation übertragen lassen und umgehst die Limitierungen des
Master-Slave-Modells unter Bind. Die AD-Replikation läuft im
Multimaster-Modell: Du kannst auf allen DNS-Servern die Zonendaten ändern
und die Änderungen werden zwischen allen DNS-Servern automatisch
repliziert. Dies findest Du imho auch nicht beim Bind.
Was macht man nun mit Clients, die kein sicheres DDNS unterstützen (MacOS,
Unix, Drucker, etc.)? Hier kommt der Windows-DHCP-Dienst ins Spiel:
Der DHCP-Dienst kann für Clients, die keine sicheren dynamischen Updates
unterstüten, an deren Sstelle den DNS sicher updaten. Dabei kann der
DHCP-Server so konfiguriert werden, dass er dafür einen eigenen Useraccount
nimmt, dem dann diese Einträge gehören. Der DHCP-Server ist damit nicht ini
der Lage, Einträge von anderen Maschinen (z.B. Deine Server) ändern zu können.
Das alles bietet Dir ein hohes Maß an Sicherheit bei minimaler
Administration. Deswegen der Tip, alles unter Windows laufen zu lassen und
deswegen auch die Nachfrage, auf welche Argumente Ddu die Entscheidung
gegen Windows DNS und DHCP stützt.
> Nein, in jedem Netz ist eigener DHCP und DNS Server und es ist gut
> so. Ob es besser oder schlechter ist, sei dahingestellt. In dem Netz wo
> DHCP und DNS unter Linux laufen, habe ich das gleiche problem.
Wie kommsst Du dann darauf, dass es ein Windows-Problem ist?
> Leider nicht. DHCP ist ISC 3.0.1, DNS - bind 9.2.4
> Was soll die Konfig bringen? Die Einträge sind für alle Rechner gleich
> und es funktioniert in 99,99% der Fälle. Es gab das problem noch nie mit
> Linux oder OS/2 Klienten.
Entschuldige bitte: Die Wahrscheinlichkeit Dir helfen zu können steigt mit
der Angabe von Logauszügen und Konfigurationsdaten. Wir verteilen auf der
CeBIT zwar "Erleuchtungskugeln" mit unserem Logo, allerdings funktioniert
das Glaskugel-Feature noch nicht so richtig. Vermutlicch muß ich da auf ein
SP warten ;-)
> Im Log von DNS steht ja nicht drin da der Klient nicht versucht was zu machen.
Eventuell steht im Log auch nicchts drin, weil Du das Logging nicht fein
genug eingestellt hast.
-- Daniel Melanchthon http://blogs.msdn.com/dmelanchthon Microsoft kann für die Richtigkeit und Vollständigkeit der Inhalte in dieser Newsgroup keine Haftung übernehmen.
- Next message: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Previous message: Erich Brandis: "Re: Datendurchstz 2 Netzwerkkarten?"
- In reply to: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Next in thread: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Reply: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
