Re: Windows (XP und 2003) als dhcp Client mit ddns
From: Robert Rakowicz (b9009_at_rjap.de)
Date: 03/13/05
- Next message: Daniel Melanchthon [MSFT]: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Previous message: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- In reply to: Daniel Melanchthon [MSFT]: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Next in thread: Daniel Melanchthon [MSFT]: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Reply: Daniel Melanchthon [MSFT]: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Messages sorted by: [ date ] [ thread ]
Date: 13 Mar 2005 13:51:42 +0100
"Daniel Melanchthon [MSFT]" <danielme@online.microsoft.com> writes:
> Robert Rakowicz schrieb:
> >>Wenn Du den DHCP auch unter Windows einrichtest,...
> > Das will ich nicht.
>
> Hallo Robert,
>
> das ist nat�rlich Deine freie Entschiedung :-) Mast Du, wenn Du willst,
> mal die Gr�nde daf�r posten? Die w�rden mich wirklich interessieren.
Ganz einfach - wenn es an mir liegen soll h�tten wir kein Windows im
Einsatz. Nicht das es keine gute Dinger in dem System g�be - nein. Was
mich an erster Stelle wirklich nervt und die Arbeit erschwert ist die
Notwendigkeit der Maus. Microsoft kommt zwar nach und nach mit
Scriptm�glichkeiten aber es ist noch lange nicht alles rund. Und ja die
Maus st�hrt wenn du mehr als 10-20 Rechner zum administrieren hast.
>
> Ich hole mal etwas aus: Der Bind unter Linux erlaubt Dir dynamische
> Updates. Damit die Windows-Clients sich im Bind direkt selbst eintragen
> k�nnen, mu�t Du allerdings die unsichere dynamische Aktualisierung
> erlauben (allow-update ohne dnssec-keygen), da der Bind nicht GSS-TSIG
> unterst�tzt.
>
> Wenn Du also den Windows-Clients erlauben m�chtest, sich selbst im DNS
> eintragen zu k�nnen, dann geht das mit Bind eben nur �ber unsichere
> Updates. Damit k�nnen aber Angreifer, die den DNS-Server erreichen
> k�nnen, *alle* andere Eintr�ge, die Du mit dem allow-update-Statement
> erfa�t, �ndern.
>
> Daher ist diese L�sung imho nicht empfehlenswert.
Es geht viel mehr darum nur EINEN haben der im DNS Misst machen kann und
nicht wie es bei uns ist ~70.000.
> Aber: Wwoher bekommt der DHCP-Server denn den Namen des Clients?
>
> 1. Fall: Der Client liefert den Namen bei der DHCP-Anfrage mit. Wie Du
> Dir sicher vorstellen kannst, kann eien Angreifer also �ber DHCP jeden
> beliebigen Hostnamen �bermitteln und der DHCP-Dienst f�hrt dann das
> sichere Update auf dem DNS-Server durch.
Und, was passiert dann? Bitte wir wollen jetzt kein Krieg f�hren. Hast
du nicht selbst gesagt jeder DomainClient kann mir Mist schreiben? Jeder
08/15 User kann f�r erstes 5 Clients in die Dom�ne bringen (so fern man
das nicht komplett abgestellt hat). Damit kann er auch beliebige Namen
im DNS schreiben.
>
> 2. Fall: Du arbeitest nur mit Reservierungen, in denen Du die
> MAC-Adresse, die IP-Adresse und den Hostnamen f�r jeden Rechner
> entsprechend einpflegst.
>
Na ja, das kann ich f�r 10 Rechner machen dann ist aber gut ;)
> L�sung 1 ist aus Sicherheitsgr�nden imho nicht empfehlenswert - die
> sicheren Updates sind an dieser Sstelle sinnnfrei, weil die DHCP-Anfrage
> die unsichere Komponente ist.
>
Sehe ich nicht so.
> Wenn Du bis hierhin mitgelesen hast, dann gehts mit der L�sung unter
> Windows weiter:
Ich m�chte vieleicht mal sagen, es war nicht meine Frage ein neues
Konzept f�r DNS/DHCP zu entwickeln sondern ein vorhandenes Problem mit
Windows Klienten zu l�sen. An dieser Stelle ist anzumerken - Vorschlag
stell alles auf Windows um dann wird es schon funktionieren ist kein
guter Vorschlag. Ich habe mir die M�he gemacht und am Sa. 1 Netz mit 20
Rechnern so umgestellt. Die 2 Rechner 1xXP, 1x2003 haben nach wie vor
Problem.
F�r Konstruktive Ideen wo ich auf der Klientseite (da vermute ich die
Fehler) suchen kann, bin weiterhin Interessiert.
Pozdrawiam/Gru�/Regards
Robert Rakowicz
-- Robert Rakowicz URL: www.rjap.de E-Mail: b9009@rjap.de
- Next message: Daniel Melanchthon [MSFT]: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Previous message: Robert Rakowicz: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- In reply to: Daniel Melanchthon [MSFT]: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Next in thread: Daniel Melanchthon [MSFT]: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Reply: Daniel Melanchthon [MSFT]: "Re: Windows (XP und 2003) als dhcp Client mit ddns"
- Messages sorted by: [ date ] [ thread ]
Relevant Pages
|
